TLS 1.3概述 – 更快、更安全

自上次加密协议更新以来已经过去了八年多,但截至2018年8月,TLS1.3的最终版本现已发布。对WordPress社区和客户来说,令人兴奋的部分是TLS 1.3包含许多安全性和性能改进。

随着2015年末的HTTP/2协议更新以及2018年的TLS 1.3,加密连接现在比以往任何时候都更加安全和快速。阅读下面有关TLS 1.3的更改以及它如何使您作为WordPress网站所有者受益的更多信息。

什么是TLS?

TLS代表传输层安全性,是SSL(安全套接字层)的继承者。TLS提供Web浏览器和服务器之间的安全通信。连接本身是安全的,因为对称加密用于加密传输的数据。密钥是为每个连接唯一生成的,并且基于会话开始时协商的共享秘密,也称为TLS握手。

许多基于IP的协议,例如HTTPS、SMTP、POP3、FTP都支持TLS来加密数据。

TLS 1.3:更快、更安全、更好,应有尽有。  — 菲利波·瓦尔索达

Web浏览器使用SSL证书,该证书允许它们识别它属于数字签名的证书颁发机构。从技术上讲,这些也称为TLS证书,但大多数SSL提供商都坚持使用术语“SSL证书”,因为这通常更广为人知。

SSL/TLS证书提供了许多人在浏览器地址栏中看到的HTTPS背后的魔力。

TLS 1.3与TLS 1.2

互联网工程任务组 (IETF) 是负责定义TLS协议的组织,该协议经历了许多不同的迭代。之前的TLS版本TLS 1.2是在RFC 5246中定义的, 并且在过去八年中被大多数Web浏览器使用。2018年3月21日,经过28次草稿, TLS 1.3最终确定。截至2018年8月,TLS 1.3的最终版本现已发布 ( RFC 8446 )。

Cloudflare等公司已经在向其客户提供 TLS 1.3 Filippo Valsorda就TLS 1.2和TLS 1.3之间的差异进行了精彩的演讲(见下文)。简而言之,TLS 1.3与TLS 1.2相比的主要优点是速度更快,安全性更高

TLS 1.3的速度优势

在Web性能方面,TLS和加密连接总是会增加一点开销。HTTP/2确实帮助解决了这个问题,但TLS 1.3通过TLS错误启动和零往返时间 (0-RTT)等功能帮助加快了加密连接的速度。

简单来说,在TLS 1.2中,完成TLS握手需要两次往返。使用1.3,它只需要一次往返 这反过来又将加密延迟减少了一半。这有助于那些加密的连接感觉比以前快一点。

TLS 1.3握手性能

TLS 1.3握手性能

另一个优点是,从某种意义上说, 它记住了!在您之前访问过的站点上,您现在可以将第一条消息的数据发送到服务器。这被称为“零往返”。(0-RTT)。是的,这也可以缩短加载时间。

使用TLS 1.3提高安全性

TLS 1.2的一个大问题是它通常没有正确配置,这会使网站容易受到攻击。TLS 1.3现在从TLS 1.2中删除了过时和不安全的功能,包括以下内容:

  • SHA-1
  • RC4
  • DES
  • 3DES
  • AES-CBC
  • MD5
  • 任意Diffie-Hellman组 — CVE-2016-0701
  • EXPORT-strength ciphers – 负责FREAK和LogJam

因为协议在某种意义上更加简化,这使得管理员和开发人员不太可能错误配置协议。Jessie Victors是一名安全顾问,专门研究隐私增强系统和应用密码学,他说

我对即将到来的标准感到兴奋。我认为我们将看到更少的漏洞,并且我们将能够比过去更加信任TLS。

谷歌也在提高标准,因为他们已经开始在搜索控制台中警告用户他们正在迁移到TLS 1.2版,因为TLS 1不再那么安全。他们给出的最后期限是2018年3月。

TLS 1.3浏览器支持

自Chrome 65以来,Chrome一直在发布TLS 1.3的草稿版本。在Chrome 70(2018年10月发布)中,为传出连接启用了TLS 1.3的最终版本。

在Firefox 52及更高版本(包括Quantum)中启用了TLS 1.3的草稿版本。他们一直保留对TLS 1.2的不安全回退,直到他们对服务器容错和1.3握手有了更多了解。 Firefox 63(2018年10月发布)随附TLS 1.3的最终版本。

Microsoft Edge从版本76开始支持TLS 1.3,并且在macOS 10.14.4上的Safari 12.1中默认启用。

TLS 1.3浏览器支持

TLS 1.3浏览器支持

话虽如此,互联网上的一些SSL测试服务还不支持TLS 1.3,IE或Opera mobile等其他浏览器也不支持。

其他浏览器可能需要一段时间才能赶上。其余的大多数目前正在开发中。Cloudflare有一篇关于为什么TLS 1.3还没有出现在浏览器中的优秀文章。

然而,截至2018年9月11日,TLS 1.3超过TLS 1.0,成为Cloudflare使用第二多的版本。

猜猜今天发生了什么?TLS 1.3超过TLS 1.0,成为Cloudflare看到的第二常见的TLS版本。

——尼克·沙利文 (@grittygrease) 2018年9月11日

TLS 1.3服务器支持

如果您想知道您的服务器或主机是否支持TLS 1.3,但您可以使用SSL服务器测试工具。只需扫描您的域并向下滚动到“Protocols”部分。它会说是或否。

TLS 1.3服务器支持

TLS 1.3服务器支持

小结

就像 HTTP/2 一样,TLS 1.3 是另一个令人兴奋的协议更新,我们可以期待在未来几年从中受益。加密 (HTTPS) 连接不仅会变得更快,而且会更加安全。这是为了推动网络向前发展!如果您使用的是旧 TLS 版本,您可能需要在 Chrome 中修复ERR_SSL_OBSOLETE_VERSION通知。

本文提到: