Alfonso Maruccia

TLS 1.3 è il nuovo standard per le connessioni sicure

IETF ha finalmente ratificato il nuovo protocollo per le comunicazioni su HTTPS, una tecnologia che ora è molto più sicura rispetto al passato e offre prestazioni migliori. E non contiene backdoor, come invece chiedevano le banche

Roma - A ben dieci anni di distanza dal debutto della versione precedente, in questi giorni il protocollo Transport Layer Security (TLS) è stato aggiornato alla release 1.3 con novità significative sia sul fronte della sicurezza che su quello delle performance per le comunicazioni Web sicure.

A occuparsi, come sempre, dell'approvazione del nuovo standard è stata la Internet Engineering Task Force (IETF), organo di controllo degli standard di Internet che ha deciso di ratificare la 28esima bozza di TLS 1.3 a versione definitiva e quindi ufficiale del protocollo.

TLS 1.3 arriva ad aggiornare lo standard TLS 1.2 introdotto nell'oramai lontano 2008, un update che abbandona gli algoritmi crittografici (per l'hashing e la cifratura delle comunicazioni) più vecchi e insicuri come MD5 e SHA-224 in favore di algoritmi oggi considerati molto meno attaccabili come ChaCha20, Poly1305, Ed25519, x25519 e x448.
Ma TLS 1.3 migliora le comunicazioni HTTPS anche sul fronte delle prestazioni, visto che ora il protocollo è in grado di stabilire il collegamento tra client e server (handshake) molto più velocemente, di ridurre la latenza delle connessioni e di "ricordare" lo stato di un collegamento con un host già contattato in precedenza. TLS 1.3 è inoltre protetto contro i gli attacchi pensati per forzare il downgrade degli algoritmi di protezione.

TLS 1.3 diventerà ora parte integrante dei browser Web più popolari, mentre il resto dell'infrastruttura di rete - intermediario indispensabile per veicolare le comunicazioni di rete tra client e server - dovrà necessariamente subire interventi di aggiornamento molto più estesi e costosi.

Proprio per evitare questi costi, gli istituti finanziari avevano richiesto a IETF la possibilità di inserire una "backdoor" all'interno dello standard TLS 1.3 così da decriptare facilmente le comunicazioni per rendere compatibili i loro network. Una richiesta rispedita subito al mittente, visto che avrebbe reso qualsiasi sforzo di sviluppo del nuovo standard assolutamente vano.

Alfonso Maruccia
Notizie collegate
  • SicurezzaIETF risolve la falla di TLS/SSLL'organizzazione che sviluppa e promuove gli standard di Internet ha approvato una modifica al protocollo. Per risolvere un pericoloso problema di sicurezza emerso lo scorso anno. Manca solo la ratifica dello standard
10 Commenti alla Notizia TLS 1.3 è il nuovo standard per le connessioni sicure
Ordina