CDN加速

产品动态 > 正文

下一代互联网安全协议尘埃落定,网宿正式支持TLS新标准

2018-09-14

就在本周, OpenSSL组织发布了最新的OpenSSL长期支持版本1.1.1。该版本最受瞩目的亮点就是支持了最新的传输层安全协议TLS 1.3。

一个月前,国际互联网工程任务组(IETF)对TLS 1.3完成了最终的标准化,发布了定案版本RFC8446。此次OpenSSL正式支持TLS 1.3,意味着TLS 1.3已被正式确立为下一代互联网安全协议,为HTTPS的性能和安全性带来跨越式升级。

网宿科技CDN已正式支持TLS 1.3!

早在去年底,网宿就已率先在移动应用加速方案中支持TLS 1.3协议草案。随着TLS 1.3正式定案,网宿的支持范围已从移动端,扩大到PC端使用HTTPS的web服务。

什么是TLS 1.3?

由于HTTP 协议采用明文方式传输,黑客通过嗅探浏览器和网站服务器之间的传输报文,就可以轻松地获取,甚至劫持、篡改传输的信息。因此 ,HTTP 协议具有严重的安全隐患。这就使得更加安全的HTTPS协议应运而生。

HTTPS之所以更安全,就是因为其在HTTP协议的基础上,加入了传输层加密协议TLS(前身为SSL协议)。TLS依靠证书来验证服务器的身份,并为客户端和服务器之间的数据传输加密。

元宇宙:我们的技术准备好了吗?

而TLS 1.3,即是TLS协议的最新标准。其针对已面世10年的TLS 1.2协议,进行了迄今为止最大的改进,被视为是HTTPS性能及安全的一个新的里程碑。

TLS 1.3 好处都有啥?

01.大幅提升访问速度

相比TLS 1.2协议,TLS1.3极大的缩减了TLS握手延时,降低了性能的消耗,减少了对使用HTTPS的隐忧和顾虑。

握手简化,缩短一半延迟

HTTPS虽然提高了web服务的安全性,但也会降低用户访问速度。

这是因为HTTPS比起HTTP多了一个TLS握手的过程。在传输加密数据之前,用户端和网站之间需要先取得共享的对称密钥,这一过程就叫做握手。

在TLS 1.2中,用户端和网站之间需要经过两次信息往返,才能完成握手。而新版TLS 1.3简化了握手环节,仅需一次往返即可完成,耗费的握手时间减半。

元宇宙:我们的技术准备好了吗?

TLS1.3在服务器发送ServerHello的同时,签名会话秘钥,将Client和Server端的key_share融合成一个扩展,从而使整个握手过程比TLS1.2节省了1个往返的时间

会话复用,引入0-RTT(0往返时间)模式

对于近期已经访问过的站点,TLS1.3在恢复连接时可以实现0-RTT(0往返时间)握手,客户端在首包中就可直接发送加密的请求数据,使网页加载进一步加快。

元宇宙:我们的技术准备好了吗?

用户端通过相关计算和服务端发出的Ticket组成PSK预共享密钥并缓存在本地;
在恢复会话时,在ClientHello中携带PSK进行加解密通信。

02.增强安全性

此次TLS 1.3秉承“Less is more”的原则,在TLS 1.2的基础上做了减法,删除了现有协议中一些过时的、可能存在漏洞及安全隐患的算法,使整个协议更加安全可靠。

主要删减如下:
1.禁止使用不支持前向安全性的RSA密钥传输;
2.禁止一些安全性较弱的密码原语如MD5的使用;
3.不再支持重协商握手模式;
4.不再使用容易受到BEAST和Lucky13攻击的CBC模式密码;
5.剔除了在HTTPS中使用存在安全隐患的RC4流密码。

是时候升级TLS 1.3了

作为下一代互联网安全协议,TLS 1.3针对已经被反复修补10年、满目沧桑的TLS 1.2协议,进行了全面升级,既提高了用户访问速度,并且增强了安全性。

通过加解密工具OpenSSL的正式支持,TLS 1.3得以真正落地,并将在未来十年中,取代过时的旧版本协议,得到广泛普及。

元宇宙:我们的技术准备好了吗?

十种常用浏览器支持TLS1.3的进展情况
绿色-支持,红色-不支持,灰色-情况不明

当前,在网络传输的最后一公里,已有越来越多的浏览器宣布支持TLS 1.3。在中间一公里,网宿CDN也已经支持新标准。

网站升级TLS 1.3,配套支持已逐渐俱备,你不来试试吗?