Вебинар "Настройка и тюнинг TLS 1.3 и предыдущих версий SSL/TLS"

Advanced Traininghttps://cdn.atraining.ru/makeog/ATRAINING/TLS/

Настройка и тюнинг TLS 1.3 и предыдущих версий SSL/TLS (TLS 1.3 Configuring)

Даты ближайших вебинаров

  • В данный момент в расписании нет ближайших занятий. Возможно индивидуальное обучение - оставьте нам запрос на вебинар - мы обязательно ответим и уточним детали.

Краткое описание вебинара "Настройка и тюнинг TLS 1.3 и предыдущих версий SSL/TLS"

Протоколы семейства SSL/TLS прошли трассу от интересной фичи Netscape Navigator до главного протокола защиты всего и вся - от личной переписки до фин.транзакций - в современном Интернете. Поговорим про настройки актуальных версий - TLS 1.2 и TLS 1.3, про взаимодействие с HTTP-заголовками и особенности реализации в различном ПО.

Лабораторный стенд

Для выполнения практических работ будет использоваться:

  • NGINX 1.19.x
  • Microsoft IIS 10
  • Windows Server 2019 Datacenter
  • CentOS Linux 8.3

Версии ПО могут быть более новыми, чем указаны в списке. В случае windows/linux на ОС обычно установлены последние обновления.AT-COURSE-AT-ADVSECE-TLS-21.01

Ограничение участия

В данном вебинаре могут принимать участие только обладатели активной на дату начала события подписки Knowledge Assurance. Обычно так делается, если курс/вебинар требует предварительной подготовки.

Программа вебинара

Протоколы семейства SSL/TLS - обзор

  • Версии SSL 2.0 - 3.0 и TLS 1.0 - 1.3. Экзотические PCT и MPUH. Выбор используемых версий, исходя из возможностей подключающихся клиентов. Уход SSL и младших версий TLS (1.0 и 1.1).
  • Используемые криптографические компоненты - алгоритмы хэширования, шифрования с секретным ключом, шифрования с открытым ключом, совместной генерации ключевого материала, подтверждения подлинности.
  • Комплекты криптографических настроек - cipher suites. Устаревшие форматы SSL, форматы TLS 1.2 и TLS 1.3.
  • Отраслевые стандарты - PCI DSS, NIST, HIPPA. Выбираем cipher suites.

Настройка функциональности TLS

  • Приоритеты со стороны сервера - преимущество быстрым криптоалгоритмам.
  • Ускорение установки соединения через TLS False Start.
  • Пересогласование TLS - обычное и безопасное. Почему отключаем.
  • Сжатие в TLS. Перспективное сжатие сертификатов при handshake, по RFC 8879.
  • Кэширование сессий - TLS Session ID и Session Tickets, вопросы безопасности. Механизм SSL Close-Notify.
  • Фрагментация TLS. Стандарт RFC 6066 и новый RFC 8449, предлагающий отказаться от max_fragment_length. Почему?
  • Настройка DH - выбор групп и прегенерация битового материала (локальные primes).
  • Изменения в handshake - уход xDSA и устаревших вариантов.
  • ECDH/EECDH - выбираем используемые при совместной генерации ключевого материала эллиптические кривые. NSA/NIST (P256, P385 и P521) против x25519, ANSI и brainpool.
  • DNS CAA - DNS Certification Authority Authorization.
  • Проверка на отзыв - CRL и OCSP. Механизм OCSP Stapling. OCSP Must-Staple.

Системы безопасности TLS-сессии, связанные с HTTP-заголовками

  • OCSP: Заголовок Expect-Staple.
  • Заголовок HSTS – HTTP Strict Transport Security.
  • Заголовок HPKP – HTTP Public Key Pinning.
  • Заголовок Content-Security-Policy – опция upgrade-insecure-requests.

Особенности использования и настройки TLS в различных реализациях

  • TLS как слой безопасности Microsoft RDP.
  • TLS в EAP-TLS (RFC 5216 и грядущие изменения), EAP-TTLS (RFC 5281) и PEAP.
  • EAP-TLS в WiFi 802.11 - WPA3-CNSA / WPA3-Personal.
  • TLS в почтовых сервисах - настройки Postfix 3.5+ / Microsoft Exchange, отказ от TLS 1.0 и планируемый по RFC 8689 REQUIRETLS.
  • Ожидаемый TLS 1.3 в Windows 10 версии 21H1.
  • Suite B и перспективная квантовая криптография - выбираем настройки TLS 1.3.

Стандартная продолжительность вебинара

1 день

Фактическая продолжительность может быть иной - например субботние курсы обычно читаются дольше, и вместо 40 ак.часов там бывает 56 - для уточнения информации по конкретной группе посмотрите расписание.

Предварительная подготовка

Наличие необходимой подготовки важно для эффективного изучения материала. Чтобы обучаться на вебинаре "Настройка и тюнинг TLS 1.3 и предыдущих версий SSL/TLS", надо полностью знать материал:

  • ICND2 3.0 - Использование сетевого оборудования Cisco, часть 2 (Interconnecting Cisco Network Devices, part 2)

или обладать аналогичными знаниями и навыками.

Что после вебинара?