浅谈 TLS 1.3

TLS 1.3 移除了很多过时的密码学原型和功能（例如压缩、重协商），强制要求完美前向安全。TLS 1.2 支持了很多加密算法（包括 3DES、静态 DH 等），这导致了 FREAK、Logjam、Sweet32 等攻击的出现。TLS 1.3 缩紧了对加密原型的限制，避免了因服务器启用不安全的算法导致协议的安全性受到影响。在这方面的简化也使得运维和开发者配置 TLS 变得更容易，不再容易误用不安全的配置。

TLS 1.3 之前，整个握手环节都是没有加密保护的，这泄漏了很多信息，包括客户端和服务器的身份。TLS 1.3 对握手的绝大部分信息进行了加密，这保护了用户隐私，也在一定程度上防止了协议僵化问题。

性能提升

虽然电脑越变越快，但在互联网上传输数据耗费的时间依然受限于光速，所以两个节点间来回传输一次的时间（RTT）成为了限制协议性能的因素之一。TLS 1.3 只需要一个 RTT 就能完成握手，相比 TLS 1.2 省去了一个 RTT。并且 TLS 1.3 支持 “0-RTT” 模式，在该模式下客户端可以在握手的同时发送数据，极大地加快了页面的加载速度。TLS 1.3 还增加了 ChaCha20/Poly1305 支持，在不支持 AES 硬件指令的老设备上能提升加、解密性能。

TLS 1.3的部署

Tengine 2.2.2 / nginx 1.13.0 提供了 TLS 1.3 支持，和 OpenSSL 1.1.1 配合即可将网站升级到 TLS 1.3。在配置文件里将 TLSv1.3 加到 ssl_protocols 中就可以启用 TLS 1.3 支持了。Qualys 的  SSL 服务器测试 [1] 是很方便的 TLS 配置测试工具，可以很方便地检测公网站点的 TLS 配置及其安全性。

协议僵化问题

当一个互联网协议长时间不发生变化时，基于该协议开发的设备就可能无视其预留的变通手段而对其特性作出超出标准的假设，这就是协议僵化现象。在 TLS 1.3 的完善过程中，新的协议因协议僵化问题而不得不模拟老协议的一些行为，这大大拖慢了 TLS 1.3 标准化的进度。尽管在制定 TLS 1.3 标准时工作组针对很多实际测试时出现的问题进行了处理，但我们部署到线上环境还是需要注意可能出现的兼容性问题。

 TLS 1.3发展时间线