Вебинар "Настройка и тюнинг TLS 1.3 и предыдущих версий SSL/TLS"

Даты ближайших вебинаров

• В данный момент в расписании нет ближайших занятий. Возможно индивидуальное обучение - оставьте нам запрос на вебинар - мы обязательно ответим и уточним детали.

Краткое описание вебинара "Настройка и тюнинг TLS 1.3 и предыдущих версий SSL/TLS"

Лабораторный стенд

Для выполнения практических работ будет использоваться:

• NGINX 1.21.x
• Microsoft IIS 10
• Windows Server 2019 Datacenter
• CentOS Linux 8.x

Версии ПО могут быть более новыми, чем указаны в списке. В случае windows/linux на ОС обычно установлены последние обновления.AT-COURSE-AT-ADVSECE-TLS-21.01

Ограничение участия

В данном вебинаре могут принимать участие только обладатели активной на дату начала события подписки Knowledge Assurance. Обычно так делается, если курс/вебинар требует предварительной подготовки.

Программа вебинара

Протоколы семейства SSL/TLS - обзор

• Версии SSL 2.0 - 3.0 и TLS 1.0 - 1.3. Экзотические PCT и MPUH. Выбор используемых версий, исходя из возможностей подключающихся клиентов. Уход SSL и младших версий TLS (1.0 и 1.1).
• Используемые криптографические компоненты - алгоритмы хэширования, шифрования с секретным ключом, шифрования с открытым ключом, совместной генерации ключевого материала, подтверждения подлинности.
• Комплекты криптографических настроек - cipher suites. Устаревшие форматы SSL, форматы TLS 1.2 и TLS 1.3.
• Отраслевые стандарты - PCI DSS, NIST, HIPPA. Выбираем cipher suites.

Настройка функциональности TLS

• Приоритеты со стороны сервера - преимущество быстрым криптоалгоритмам.
• Ускорение установки соединения через TLS False Start.
• Пересогласование TLS - обычное и безопасное. Почему отключаем.
• Сжатие в TLS. Перспективное сжатие сертификатов при handshake, по RFC 8879.
• Кэширование сессий - TLS Session ID и Session Tickets, вопросы безопасности. Механизм SSL Close-Notify.
• Фрагментация TLS. Стандарт RFC 6066 и новый RFC 8449, предлагающий отказаться от max_fragment_length. Почему?
• Настройка DH - выбор групп и прегенерация битового материала (локальные primes).
• Изменения в handshake - уход xDSA и устаревших вариантов.
• ECDH/EECDH - выбираем используемые при совместной генерации ключевого материала эллиптические кривые. NSA/NIST (P256, P385 и P521) против x25519, ANSI и brainpool.
• DNS CAA - DNS Certification Authority Authorization.
• Проверка на отзыв - CRL и OCSP. Механизм OCSP Stapling. OCSP Must-Staple.

Системы безопасности TLS-сессии, связанные с HTTP-заголовками

• OCSP: Заголовок Expect-Staple.
• Заголовок HSTS – HTTP Strict Transport Security.
• Заголовок HPKP – HTTP Public Key Pinning.
• Заголовок Content-Security-Policy – опция upgrade-insecure-requests.

Особенности использования и настройки TLS в различных реализациях

• TLS как слой безопасности Microsoft RDP.
• TLS в EAP-TLS (RFC 5216 и грядущие изменения), EAP-TTLS (RFC 5281) и PEAP.
• EAP-TLS в WiFi 802.11 - WPA3-CNSA / WPA3-Personal.
• TLS в почтовых сервисах - настройки Postfix 3.5+ / Microsoft Exchange, отказ от TLS 1.0 и планируемый по RFC 8689 REQUIRETLS.
• Ожидаемый TLS 1.3 в Windows 10 версии 21H1.
• Suite B и перспективная квантовая криптография - выбираем настройки TLS 1.3.

Стандартная продолжительность занятий

1 день

Фактическая продолжительность может быть иной - например субботние курсы обычно читаются дольше. Для уточнения информации по конкретной группе посмотрите расписание.

Предварительная подготовка

Наличие необходимой подготовки важно для эффективного изучения материала. Чтобы обучаться на вебинаре "Настройка и тюнинг TLS 1.3 и предыдущих версий SSL/TLS", надо полностью знать материал:

• ICND2 3.0 - Использование сетевого оборудования Cisco, часть 2 (Interconnecting Cisco Network Devices, part 2)

или обладать аналогичными знаниями и навыками.