为什么要使用TLS 1.3?

TLS 1.3在几个重要方面对TLS(SSL)协议的早期版本进行了改进。

学习目标

阅读本文后,您将能够:

  • 了解TLS 1.3为什么比TLS 1.2更快、更安全
  • 了解TLS漏洞

相关内容


想要继续学习吗?

订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!

参阅 Cloudflare 的隐私政策,了解我们如何收集和处理您的个人数据。

复制文章链接

TLS 1.3和TLS 1.2有什么区别?

TLS 1.3 是 TLS 协议的最新版本。HTTPS 和其他网络协议使用 TLS 来进行加密 ,它是 SSL 的现代化版本。TLS 1.3 放弃了对较旧、安全性较低的加密功能的支持,并加快了 TLS 握手 ,以及其他方面的改进。

作为背景了解,互联网工程任务组(IETF)于2018年8月发布了TLS 1.3。它所取代的TLS 1.2版本在10年前,也就是2008年,进行了标准化。

注册
任何 Cloudflare 计划均可提供安全性和速度

使用最新的TLS版本有什么优势?

简而言之,TLS 1.3 比 TLS 1.2 更快、更安全。使 TLS 1.3 更快的一处更改是对 TLS 握手工作方式的更新:TLS 1.3 中的 TLS 握手只需要一次往返(或来回通信)而不是两次,从而将过程缩短了几毫秒。如果客户端之前连接到网站,TLS 握手的往返次数为零。这使 HTTPS 连接更快,减少延迟并改善整体用户体验。

TLS 1.2中的许多主要漏洞与仍受到支持的较旧的加密算法有关。TLS 1.3放弃了对这些易受攻击的加密算法的支持,因此,它不太容易受到网络攻击。

白皮书
最大化 TLS 的力量

为什么会有不同的TLS版本?

TLS SSL 开发时间表 - SSL 1996 TLS 1.2 2008 TLS 1.3 2018

更新是软件开发的自然组成部分。计算机系统是如此复杂,以至于不可避免地需要维修或改进以提高效率或安全性。任何软件都将具有漏洞——攻击者可以利用的漏洞。

对于TLS而言,该协议的某些部分自1990年代初期以来一直沿用,导致TLS 1.2持续存在多个令人高度重视的漏洞。此外,致力于开发协议的人员正在不断辨别那些应该被消除的低效率环节。

新版本的TLS是如何开发的?

IETF 负责开发 TLS,通过称为“征求意见稿”或 RFC 的文档整理反馈和想法。互联网上的大多数协议都是通过 RFC 定义的。所有 RFC 都有编号;TLS 1.3 由 RFC 8446 定义。

协议的新版本发布后,由浏览器和操作系统来构建对那些协议的支持。所有操作系统和浏览器都希望有更好的性能和安全性,因此他们有动力这样做。但是,要广泛支持更新的协议仍然需要花费一些时间,尤其是因为私营企业和消费者更新至最新版本的浏览器、应用程序和操作系统的速度可能较慢。

什么是漏洞?

软件漏洞是计算机程序设计中的缺陷,攻击者可以利用该缺陷来进行恶意活动或获得非法访问。从本质上讲,漏洞在计算机系统中是不可避免的,就像再严密的银行也无法完全抵御高度缜密的抢劫犯。

安全社区记录和描述漏洞并对其进行分类。已知漏洞被分配了一个数字,例如CVE-2016-0701。(第一个数字是被发现的年份。)

有哪些重要的SSL和TLS漏洞?

许多过时的加密功能导致漏洞的出现或启用了特定类型的网络攻击。这是TLS 1.2加密弱点以及与之相关联的漏洞或攻击的详尽列表。

除了上面列出的功能,还有许多TLS 1.2功能被删除。这样做的目的是使某人无法启用TLS 1.2易受攻击的方面。这有点像政府将制造不带安全带的新车定为违法行为:法规的目标是逐步淘汰无安全带的汽车,以使每个人都更安全。一段时间以来,驾驶员仍然可以选择使用较旧的汽车模型,并且安全性较低,但最终那些危险程度更高的汽车会从道路上消失。

Cloudflare是否支持TLS 1.3?

Cloudflare 优先支持所有最新、最安全的网络协议版本。Cloudflare 立即提供对 TLS 1.3 的支持;事实上,Cloudflare 早在 2016 年就支持 TLS 1.3,在 IETF 完成微调之前。

有关 TLS 1.3 的更多技术细节以及它与 TLS 1.2 的区别,请参阅 Cloudflare 密码学主管 Nick Sullivan 对 TLS 1.3 的详细介绍