Giao thức bảo mật TLS 1.3 - nhanh hơn, an toàn hơn

13:40 | 09/05/2018

Ngày 21/3/2018, Lực lượng chuyên trách về kỹ thuật liên mạng (Internet Engineering Task Force - IETF) đã phê duyệt giao thức bảo mật tầng giao vận (Transport Layer Security - TLS) phiên bản 1.3, giúp tăng tốc độ kết nối an toàn và nâng cao khả năng chống snooping.

Sau hơn 4 năm chuẩn bị, với hơn 28 bản thảo, TLS 1.3 đã được phê chuẩn và được cung cấp một bản hướng dẫn đầy đủ trên Internet. Lý do của việc trì hoãn này là do các thành phần cơ bản của Internet đã có nhiều thay đổi, như điều chỉnh cách thức thiết lập kết nối an toàn giữa máy khách và máy chủ, giúp người dùng an toàn hơn trước các cuộc tấn công mạng.

TLS được phát triển dựa trên giao thức bảo mật Secure Socket Layer (SSL). TLS cung cấp cơ chế trao đổi thông tin an toàn sử dụng mật mã đối xứng để mã hóa dữ liệu truyền đi. Năm 2016, giao thức này tồn tại lỗ hổng DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) cho phép kẻ tấn công giải mã các kết nối TLS chỉ trong thời gian ngắn, với chi phí nhỏ, bằng cách liên tục tạo kết nối SSL 2.0 tới máy chủ. Tại thời điểm đó, ước tính có hơn 11 triệu website bị ảnh hưởng.

Một số thay đổi trong TLS 1.3

Tăng tốc độ kết nối

Việc sử dụng TLS và các kết nối mã hóa luôn làm gia tăng thêm các chi phí hiệu suất hoạt động của website. Việc HTTP/2 ra đời đã phần nào giúp cải thiện vấn đề này, nhưng TLS 1.3 sẽ giúp tăng tốc độ kết nối sử dụng mã hóa nhiều hơn bởi các tính năng như TLS false start, Zero Round Trip Time (0-RTT). Nói một cách đơn giản, TLS 1.2 cần 2 round-trip để hoàn thành quá trình TLS handshake. Trong khi, TLS 1.3 chỉ cần duy nhất 1 round-trip, nên độ trễ mã hóa giảm xuống 1 nửa. Tính năng 0-RTT có hiệu quả trong việc cải thiện thời gian tải bằng việc gửi và lưu dữ liệu của các trang web truy cập trước đó. Đây là chế độ mà máy chủ và máy khách có thể thiết lập một số thông số sơ bộ trước đó để gửi dữ liệu mà không cần phải “tự giới thiệu lại”.


Hình 1: Sự khác nhau giữa giao thức bắt tay TLS 1.2 và TLS 1.3

Cải thiện bảo mật

Một vấn đề lớn trong TLS 1.2 là không được cấu hình đúng cách, khiến các website dễ bị tổn thương. TLS 1.3 đã gỡ bỏ các tính năng lỗi thời và không an toàn từ TLS 1.2. Bao gồm: SHA-1, RC4, DES, 3DES, AES-CBC, MD5, nhóm Diffie-Hellman tùy ý (CVE-2016-0701), EXPORT-strength ciphers (gây ra lỗi FREAK và LogJam).

Một số thay đổi khác

- Thiết lập kết nối giữa máy khách và máy chủ được liền mạch hơn; Yếu tố mã hóa được khởi tạo từ trước đó để giảm thiểu lượng dữ liệu bị truyền tải không được mã hóa.

- “Chuyển tiếp bí mật” để giảm thiểu việc rò rỉ và tái sử dụng khóa giải mã từ các giao dịch.

Hỗ trợ trình duyệt

Chrome 63 cho phép sử dụng TLS 1.3 với các kết nối gửi đi. Phiên bản Chrome 56 và Chrome dành cho Android cũng đã hỗ trợ giao thức này. Từ Firefox 52 trở lên, TLS 1.3 được cấu hình mặc định cùng tùy chọn sử dụng TLS 1.2.


Hình 2: Các trình duyệt hỗ trợ TSL 1.3

Triển khai TLS 1.3 không phải là chuyện một sớm một chiều. Tuy nhiên, phê chuẩn của IETF là một bước tiến lớn để các tổ chức/doanh nghiệp làm căn cứ ứng dụng tiêu chuẩn này. Trong thực tế, công ty dịch vụ website và bảo mật Cloudflare (Mỹ) đã tiên phong trong việc cung cấp TLS 1.3 cho khách hàng của họ. Cũng như giao thức HTTP/2, TLS 1.3 là bản cập nhật giao thức được mong đợi trong suốt thời gian qua, bởi những tính năng mà nó đem lại khiến kết nối HTTPS trở nên nhanh hơn và an toàn hơn.

Lực lượng chuyên trách về kỹ thuật liên mạng (Internet Engineering Task Force - IETF) bao gồm một nhóm các kỹ sư từ khắp nơi trên thế giới cùng hợp tác để phát triển và quảng bá các tiêu chuẩn Internet, đặc biệt là các tiêu chuẩn liên quan đến bộ giao thức Internet. IETF được thành lập vào đầu năm 1986, có trụ sở chính tại Mỹ. Khi mới thành lập, IETF được chính phủ liên bang Hoa Kỳ hỗ trợ, nhưng từ năm 1993 trở thành đơn vị phát triển tiêu chuẩn dưới sự bảo trợ của Hiệp hội Internet - một tổ chức phi lợi nhuận dựa trên tư cách thành viên quốc tế của IETF.