自上次加密协议更新以来已经过去了八年多,但截至2018年8月,TLS1.3的最终版本现已发布。对WordPress社区和客户来说,令人兴奋的部分是TLS 1.3包含许多安全性和性能改进。
随着2015年末的HTTP/2协议更新以及2018年的TLS 1.3,加密连接现在比以往任何时候都更加安全和快速。阅读下面有关TLS 1.3的更改以及它如何使您作为WordPress网站所有者受益的更多信息。
什么是TLS?
TLS代表传输层安全性,是SSL(安全套接字层)的继承者。TLS提供Web浏览器和服务器之间的安全通信。连接本身是安全的,因为对称加密用于加密传输的数据。密钥是为每个连接唯一生成的,并且基于会话开始时协商的共享秘密,也称为TLS握手。
许多基于IP的协议,例如HTTPS、SMTP、POP3、FTP都支持TLS来加密数据。
TLS 1.3:更快、更安全、更好,应有尽有。 — 菲利波·瓦尔索达
Web浏览器使用SSL证书,该证书允许它们识别它属于数字签名的证书颁发机构。从技术上讲,这些也称为TLS证书,但大多数SSL提供商都坚持使用术语“SSL证书”,因为这通常更广为人知。
SSL/TLS证书提供了许多人在浏览器地址栏中看到的HTTPS背后的魔力。
- TLS 1.3与TLS 1.2
- TLS 1.3的速度优势
- 使用TLS 1.3提高安全性
- TLS 1.3浏览器支持
- TLS 1.3服务器支持
TLS 1.3与TLS 1.2
互联网工程任务组 (IETF) 是负责定义TLS协议的组织,该协议经历了许多不同的迭代。之前的TLS版本TLS 1.2是在RFC 5246中定义的, 并且在过去八年中被大多数Web浏览器使用。2018年3月21日,经过28次草稿, TLS 1.3最终确定。截至2018年8月,TLS 1.3的最终版本现已发布 ( RFC 8446 )。
Cloudflare等公司已经在向其客户提供 TLS 1.3 。Filippo Valsorda就TLS 1.2和TLS 1.3之间的差异进行了精彩的演讲(见下文)。简而言之,TLS 1.3与TLS 1.2相比的主要优点是速度更快,安全性更高。
TLS 1.3的速度优势
在Web性能方面,TLS和加密连接总是会增加一点开销。HTTP/2确实帮助解决了这个问题,但TLS 1.3通过TLS错误启动和零往返时间 (0-RTT)等功能帮助加快了加密连接的速度。
简单来说,在TLS 1.2中,完成TLS握手需要两次往返。使用1.3,它只需要一次往返, 这反过来又将加密延迟减少了一半。这有助于那些加密的连接感觉比以前快一点。
TLS 1.3握手性能
另一个优点是,从某种意义上说, 它记住了!在您之前访问过的站点上,您现在可以将第一条消息的数据发送到服务器。这被称为“零往返”。(0-RTT)。是的,这也可以缩短加载时间。
使用TLS 1.3提高安全性
TLS 1.2的一个大问题是它通常没有正确配置,这会使网站容易受到攻击。TLS 1.3现在从TLS 1.2中删除了过时和不安全的功能,包括以下内容:
- SHA-1
- RC4
- DES
- 3DES
- AES-CBC
- MD5
- 任意Diffie-Hellman组 — CVE-2016-0701
- EXPORT-strength ciphers – 负责FREAK和LogJam
因为协议在某种意义上更加简化,这使得管理员和开发人员不太可能错误配置协议。Jessie Victors是一名安全顾问,专门研究隐私增强系统和应用密码学,他说:
我对即将到来的标准感到兴奋。我认为我们将看到更少的漏洞,并且我们将能够比过去更加信任TLS。
谷歌也在提高标准,因为他们已经开始在搜索控制台中警告用户他们正在迁移到TLS 1.2版,因为TLS 1不再那么安全。他们给出的最后期限是2018年3月。
TLS 1.3浏览器支持
自Chrome 65以来,Chrome一直在发布TLS 1.3的草稿版本。在Chrome 70(2018年10月发布)中,为传出连接启用了TLS 1.3的最终版本。
在Firefox 52及更高版本(包括Quantum)中启用了TLS 1.3的草稿版本。他们一直保留对TLS 1.2的不安全回退,直到他们对服务器容错和1.3握手有了更多了解。 Firefox 63(2018年10月发布)随附TLS 1.3的最终版本。
Microsoft Edge从版本76开始支持TLS 1.3,并且在macOS 10.14.4上的Safari 12.1中默认启用。
TLS 1.3浏览器支持
话虽如此,互联网上的一些SSL测试服务还不支持TLS 1.3,IE或Opera mobile等其他浏览器也不支持。
其他浏览器可能需要一段时间才能赶上。其余的大多数目前正在开发中。Cloudflare有一篇关于为什么TLS 1.3还没有出现在浏览器中的优秀文章。
然而,截至2018年9月11日,TLS 1.3超过TLS 1.0,成为Cloudflare使用第二多的版本。
猜猜今天发生了什么?TLS 1.3超过TLS 1.0,成为Cloudflare看到的第二常见的TLS版本。
——尼克·沙利文 (@grittygrease) 2018年9月11日
TLS 1.3服务器支持
如果您想知道您的服务器或主机是否支持TLS 1.3,但您可以使用SSL服务器测试工具。只需扫描您的域并向下滚动到“Protocols”部分。它会说是或否。
TLS 1.3服务器支持
小结
就像 HTTP/2 一样,TLS 1.3 是另一个令人兴奋的协议更新,我们可以期待在未来几年从中受益。加密 (HTTPS) 连接不仅会变得更快,而且会更加安全。这是为了推动网络向前发展!如果您使用的是旧 TLS 版本,您可能需要在 Chrome 中修复ERR_SSL_OBSOLETE_VERSION通知。
原文地址:https://www.wbolt.com/tls-1-3.html
