浅谈 TLS 1.3

TLS 1.3 移除了很多过时的密码学原型和功能（例如压缩、重协商），强制要求完美前向安全。TLS 1.2 支持了很多加密算法（包括 3DES、静态 DH 等），这导致了 FREAK、Logjam、Sweet32 等攻击的出现。TLS 1.3 缩紧了对加密原型的限制，避免了因服务器启用不安全的算法导致协议的安全性受到影响。在这方面的简化也使得运维和开发者配置 TLS 变得更容易，不再容易误用不安全的配置。

TLS 1.3 之前，整个握手环节都是没有加密保护的，这泄漏了很多信息，包括客户端和服务器的身份。TLS 1.3 对握手的绝大部分信息进行了加密，这保护了用户隐私，也在一定程度上防止了协议僵化问题。

虽然电脑越变越快，但在互联网上传输数据耗费的时间依然受限于光速，所以两个节点间来回传输一次的时间（RTT）成为了限制协议性能的因素之一。TLS 1.3 只需要一个 RTT 就能完成握手，相比 TLS 1.2 省去了一个 RTT。并且 TLS 1.3 支持 “0-RTT” 模式，在该模式下客户端可以在握手的同时发送数据，极大地加快了页面的加载速度。TLS 1.3 还增加了 ChaCha20/Poly1305 支持，在不支持 AES 硬件指令的老设备上能提升加、解密性能。

Tengine 2.2.2 / nginx 1.13.0 提供了 TLS 1.3 支持，和 OpenSSL 1.1.1 配合即可将网站升级到 TLS 1.3。在配置文件里将 TLSv1.3 加到 ssl_protocols 中就可以启用 TLS 1.3 支持了。Qualys 的 SSL 服务器测试[1]是很方便的 TLS 配置测试工具，可以很方便地检测公网站点的 TLS 配置及其安全性。

[1]https://www.ssllabs.com/ssltest/

[2]https://tools.ietf.org/html/rfc8446

[3]https://en.wikipedia.org/wiki/Transport_Layer_Security

[4]https://blog.mozilla.org/security/2018/08/13/tls-1-3-published-in-firefox-today/

[5]https://ietf.org/blog/tls13/

[6]https://kinsta.com/blog/tls-1-3/