TLS(传输层安全)是为所有现代网站提供通信安全的加密协议。TLS 1.0于 1999 年首次发布,是现已废弃的SSL 3.0 的升级版本,后来发展为 TLS 1.1,并于 2008 年发展为当前的 TLS 1.2 版本。 尽管 TLS 1.2 在过去十年中取得了巨大成功,但瞬息万变的网络安全环境和新出现的网络威胁早就需要改进。 经过十年的酝酿和 28 稿的定义,TLS 1.3终于在 2018 年 8 月发布。 在这篇快速概述中,我们将向您介绍 TLS 1.3 的新功能。
TLS 1.3 删除了过时的算法和密码
与前代产品相比,TLS 1.3 的两大优势在于安全性和速度。 TLS 1.3 删除了 TLS 1.2 中若干易受攻击和过时的功能。 以下是 TLS 1.3 所采用的部分密码和算法:
- RC4 流密码
- RSA 密钥传输
- SHA-1 哈希函数
- CBC(块)模式密码
- MD5 算法
- 各种 Diffie-Hellman 组
- 出口强度密码
- 经社部
- 3DES
简化的协议更容易实施,同时也减少了黑客入侵的机会。
TLS 1.3 比 TLS 1.2 更快
TLS 1.3 引入了全新的握手方式,缩短了加密连接所需的时间。 以前,TLS 1.2 需要两次往返才能完成 TLS 握手,而现在,1.3 版本只需要一次往返。 这一变化可将加密延迟时间缩短一半。 尽管差别仅以毫秒计,但在规模上却能相得益彰,帮助企业提高网络性能。
另一项缩短加密时间的新功能是零往返时间恢复(0-RTT)。 当用户在短时间内再次访问您的网站时,0-RTT 可使连接几乎瞬时完成。
哪些浏览器支持 TLS 1.3?
在撰写本文时,Chrome(67+)、Firefox(61+)、Opera(57+)、Edge(76)和 Safari(12.3)都支持最新的 TLS 版本。 Chrome 浏览器和火狐浏览器率先推出了对 TLS 1.3 的支持。 使用此链接查看哪些浏览器版本与 TLS 1.3 兼容。
如何在服务器上启用 TLS 1.3?
Apache 和 Nginx 等常用服务器平台以及包括 Cloudflare 在内的一些 CDN 都支持新的TLS 1.3 协议。 更新到新版本非常简单。
首先,需要将SSL/TLS 库更新到以下版本之一:
- OpenSSL1.1.1
- GnuTLS 3.5.x
- Facebook Fizz(当前)
- 谷歌的无聊 SSL(当前)
更新资料库后,选择服务器,然后按以下步骤操作:
在 Apache 上启用 TLS 1.3
TLS 1.3 可从 Apache HTTP 2.4.38 开始使用。
- 登录 Apache 服务器
- 然后打开 SSL 配置文件(默认为 ssl.conf
- 找到 SSLProtocol 行
- 在SSL 协议行末尾添加 + TLS 1.3
- 最终代码应如下所示SSLProtocol -all +TLSv1.2 +TLSv1.3
- 保存文件并重启 Apache HTTP
在 Nginx 上启用 TLS 1.3
TLS 1.3 可从 Nginx 1.13 开始使用。
- 登录 Nginx 服务器
- 备份,然后打开 niginx.conf 文件
- 使用 vi 或你喜欢的编辑器更改 nginx.conf
- 找到 ssl_protocols 行
- 在行尾添加 TLSv1.3
- 最终代码应如下所示: ssl_protocols TLSv1.2 TLSv1.3;
- 保存文件并重启 Nginx
最后的话
TLS 1.3的普遍采用还需要一段时间,您可以通过在网站和系统中启用TLS 1.3来加快进程。 其好处有目共睹。 为您的企业和客户提供更快、更轻,但最重要的是更安全的加密。
