20 jul. 2016

Microsoft anuncia TLS False Start y TCP Fast Open en Edge

Hace un mes Microsoft presentó una nueva versión beta del navegador Edge, que incluye soporte para diversas tecnologías que, en conjunto, contribuirán a acelerar la descarga de páginas web, mejorando además su seguridad.

Básicamente, la empresa reducirá el tiempo de conexión a conexiones cifradas (HTTPS). Cada vez que se establece una conexión de estas características, el navegador y el servidor realizan 3 rondas de notificaciones y recibos (handshaking), antes que se inicie la transmisión de los datos, propiamente tales. Uno de ellos es TCP (Transmission Control Protocol), mientras que los dos siguientes corresponden al protocolo de cifrado TLS (Transport_Layer_Security).

Tener cifrado requiere que se negocien las suites de cifrados y las claves para establecer la conexión antes de empezar a descargar la información de la web. Cada una de estas peticiones que se realiza entre el cliente y el servidor es el conocido como RTT (Round Trip Time), y es crítico tener el menor número de RTT.

Actualmente cualquier conexión TLS sobre TCP requiere 3 RTT para negociar las conexiones, un RTT para el propio protocolo TCP y 2 RTT para el TLS, esto hace que la primera petición a una página web con HTTPS tarde más que el resto.

En el camino a la implementación completa de TLS 1.3, en la futura versión de Edge, Microsoft se propone sustituir el procedimiento actual por las tecnologías TLS False Start y TCP Fast Open. En rigor, TLS False Start no constituye una novedad, ya que Google incorporó soporte para esta tecnología en su navegador Chrome en 2011. Sin embargo, a pesar de que el tiempo de conexión fue reducido en 30%, Google eliminó el soporte en 2012, aduciendo incompatibilidad de esta tecnología con un gran número de servidores.

No está del todo claro si los problemas que llevaron a Google a suspender el soporte para TLS False Start han desaparecido totalmente. En todo caso, Google y un grupo de trabajo de IETF (Internet Engineering Task Force) han continuado desarrollando la tecnología. El último borrador del proceso, que probablemente resultará en un nuevo estándar IETF, fue publicado hace un mes.

Microsoft Edge ya soporta TCP Fast Open en las versiones Windows Insider Preview. Si en las versiones EdgeHTML 14.14361 y superior entramos en "about:flags", veremos que tenemos la posibilidad de activar el TCP Fast Open que nos proporcionará una mayor rapidez a la hora de cargar las páginas web.

El procedimiento que realiza TLS False Start consiste en reducir el número de "viajes de ida y vuelta" que es necesario realizar antes que se inicie la transmisión de los datos. En la práctica, esto se consigue iniciando anticipadamente la transmisión de datos, sin que el cliente espere la conclusión de la última de las transmisiones y negociaciones TLS entre el cliente y el servidor, y en lugar de ello envíe una petición de datos (por ejemplo HTTP GET) antes que el servidor haya respondido la llamada anterior, conocida como TLS Client Finished. En el libro High Performance Browser Networking de O'Reilly se explica el proceso.
La opción TLS Fast Open podría acelerar aún más este proceso mediante la utilización de una cookie especial, que el cliente recibe desde el servidor al realizarse la conexión inicial. En las conexiones posteriores, la cookie es incorporada en la primera transmisión TCP SYN. Si esta es aprobada por el servidor, el sistema habilita la primera transmisión incluso antes de iniciarse la conexión TCP. El objetivo será tener 0-RTT con TLS 1.3

Lo anterior implica que la información clave y los datos cifrados son transmitidos desde el cliente sin esperar la confirmación del servidor, lo que conlleva un riesgo de seguridad inherente. Según Microsoft, el grupo de trabajo de IETF trabaja actualmente con este reto en particular. En caso de solucionarse, se espera que TLS 1.3 se convierta en un estándar oficial dentro de los próximos meses.

Fuente:  DiarioTI | RedesZone | Microsoft

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!