Citrix анонсировал поддержку Transport Layer Security версии 1.3 (TLS 1.3 IETF-RFC 8446) на устройствах Citrix ADC. TLS 1.3 предоставляет расширенную безопасность одновременно с высокой скоростью на всех коммуникациях между клиентами и серверами. Citrix является первым производителем ADC (контроллеры доставки приложений), выпустившим проект TLS 1.3 в ноябре 2017 года. RFC для TLS 1.3 формально опубликован в начале августа 2018 года. Citrix не тратил время зря и в соответствии со взятыми на себя обязательствами выпустил поддержку 1.3 для всех клиентов на Citrix ADC 12.1 (build 49.23) и всех последующих версиях. Это вновь делает Citrix первым производителем ADC, выпустившим поддержку для RFC TLS 1.3 из коробки на публично доступном релизе. Вместе с этим Citrix продолжает укреплять свое лидерство в области безопасной доставки приложений.
Клиенты могут защитить подключение на клиентской стороне при помощи TLS 1.3 в то время как Citrix ADC работает как прокси для классических приложений и позволяет клиентским подключениям быть защищенным при помощи TLS 1.3. В релизе Citrix ADC 12.1 (build 49.23) TLS 1.3 поддерживается на Citrix ADC VPX (виртуальное устройство) и Citrix ADC MPX (аппаратное устройство на базе Cavium N3).
Улучшения TLS 1.3.
TLS 1.3 обладает значительными улучшением по сравнению со своими предшественниками:
- Значительное увеличение скорости подключения – TLS 1.3 сокращает число циклов обработки необходимых между клиентом и сервером для успешного квитирования (Handshake). 0-RTT (нулевое время обработки цикла) – возможность TLS 1.3, позволяющая первому запросу клиента быть отправленным раньше успешного установления соединения TLS, в результате чего, сокращается время подключения. TLS 1.3 также позволяет клиенту открыть несколько параллельных соединений при помощи открытия нового билета сессии для каждого подключения.
- Значительно улучшенная защита от внешних угроз – предшественники TLS 1.3 восприимчивы к таким векторам атаки, как Padding Oracle, понижение протокола (Protocol Downgrade) и так далее. TLS 1.3 устраняет угрозы от этих атак. TLS 1.3 также предоставляет совершенную прямую секретность (Perfect Forward Secrecy) по умолчанию, которая обеспечивает защиту ключей сессии от компрометации, даже если частный ключ сервера скомпрометирован, также это помогает в будущей защите зашифрованных данных. В дополнение RFC TLS 1.3 на устройствах Citrix ADC VPX и MPX поддерживает следующие шифры:
- TLS1.3-AES256-GCM-SHA384 (0x1302).
- TLS1.3_CHACHA20_POLY1305_SHA256 (0x1303).
- TLS1.3-AES128_GCM-SHA256 (0x1301).
Внедрение TLS 1.3.
Существует множество ранних внедрений TLS 1.3, например, она включена по умолчанию в Mozilla Firefox 61 и Chrome 65. С практической стороны, Google и Facebook тоже включили поддержку TLS 1.3 на своих серверах. В то время как всего 5% подключений Firefox использует TLS 1.3, уже более 50% трафика Facebook идет через подключение TLS 1.3.
За счёт поддержки 1.3 в Citrix ADC, клиенты могут получить существенные преимущества от последнего протокола безопасности, не внося никаких изменений на свои серверы.
