OpenSSL官方宣布,即将发布的新版本(OpenSSL 1.1.1)将会提供TLS 1.3的支持,而且还会和之前的1.1.0版本完全兼容。TLS1.3是一种新的加密协议,它既能提高互联网用户的访问速度,又能增强安全性,同时大大提升HTTPS连接的速度性能。
与TLS1.2及更早版本的区别
在配置正常的情况下,TLS1.2会很安全。但TLS1.2具有很强的可配置性,因此一些有安全漏洞的站点,为兼容老版本的浏览器没有关闭一些旧的属性。TLS1.3信奉“少即是多”哲学,取消了对一些老旧而衰弱的加密方式的支持,TLS1.2中原有的大量特性都被删除了,这些特性包括:
�RSA密钥传输——不支持前向安全性
�CBC模式密码——易受BEAST和Lucky 13攻击
�RC4流密码——在HTTPS中使用并不安全
�SHA-1哈希函数——建议以SHA-2取而代之
�任意Diffie-Hellman组——CVE-2016-0701漏洞
�输出密码——易受FREAK和LogJam攻击
TLS 1.3版本是对规范的重大修改,一些工作方式也非常不同:
�有一些新的密码套件仅在TLS1.3下工作。一些旧的密码套件无法用于TLS 1.3连接。
�新的密码套件定义方式不同,且并未详细规定证书类型(如RSA、DSA、ECDSA)或密钥交换机制(如DHE或ECHDE)。这对密码套件的配置有暗示作用。
�客户端在客户问候消息(ClientHello)中提供一个“key_share”。这会对“组”配置产生影响。
�直到主握手完成以后,会话才会建立。在握手结束和会话建立之间可能会有一个间隙(理论上,会话可能根本不会建立),并可能对会话恢复代码产生影响。
�在TLS 1.3版本中,重新磋商是不可能的。
�现在大部分握手都会被加密。
�更多类型的消息现在可以有扩展(这对定制扩展API和证书透明系统有影响)。
�在TLS 1.3连接中不再允许使用DSA证书。
完整的HTTPS连接建立步骤
在Web领域,传输延迟(Transmission Latency)是Web性能的重要指标之一,低延迟意味着更流畅的页面加载以及更快的API响应速度。而一个完整的HTTPS链接的建立大概需要以下四步:
第一步:DNS查询
浏览器在建立链接之前,需要将域名转换为互联网IP地址。一般默认是由你的ISP DNS提供解析。ISP通常都会有缓存的,一般来说花费在这部分的时间很少。
第二步:TCP握手(1 RTT)
和服务器建立TCP连接,客户端向服务器发送SYN包,服务端返回确认的ACK包,这会花费一个往返(1 RTT)
第三步:TLS握手(2 RTT)
该部分客户端会和服务器交换密钥,同时设置加密链接,对于TLS 1.2或者更早的版本,这步需要2个RTT
第四步:建立HTTP连接(1 RTT)
一旦TLS连接建立,浏览器就会通过该连接发送加密过的HTTP请求。
我们假设DNS的查询时间忽略不计,那么从开始到建立一个完整的HTTPS连接大概一共需要4个RTT,如果是浏览刚刚已经访问过的站点的话,通过TLS的会话恢复机制,第三步TLS握手能够从2 RTT变为1 RTT。
总结:
建立新连接:4 RTT + DNS查询时间
访问刚浏览过的连接:3 RTT + DNS查询时间
TLS1.3如何减少延迟
那么TLS 1.3是如何减少延迟的?先简单回顾一下TLS 1.2是如何工作的。
TLS 1.2建立新连接
1.在一次新的握手流程中,Client
Hello总是客户端发送的第一条消息,该消息包含客户端的功能和首选项,与此同时客户端也会将本身支持的所有密码套件(Cipher Suite)列表发送过去
2.Server Hello将服务器选择的连接参数传送回客户端,同时将证书链发送过去,进行服务器的密钥交换
3.进行客户端部分的密钥交换,此时握手已经完成,加密连接已经可以使用
4.客户端建立HTTP连接
TLS 1.2会话恢复
会话恢复:
在一次完整协商的连接断开时,客户端和服务器都会将会话的安全参数保留一段时间。希望使用会话恢复的服务器会为会话指定唯一的标识,称为会话ID。
1.希望恢复会话的客户端将相应的会话ID放入ClientHello消息中,提交给服务器
2.服务器如果愿意恢复会话,将相同的会话ID放入Server Hello消息返回,使用之前协商的主密钥生成一套新密钥,切换到加密模式,发送完成信息
3.客户端收到会话已恢复的消息,也进行相同的操作。
TLS 1.3建立新连接
1.在一次新的握手流程中,客户端不仅会发送Client Hello同时也会将支持的密码套件以及客户端密钥发送给服务端,相比于TLS1.2,该步骤节约了一个RTT
2.服务端发送Server Hello,服务端密钥和证书
3.客户端接收服务端发过来的信息,使用服务端密钥,同时检查证书完整性,此时加密连接已经建立可以发送HTTP请求,整个过程仅仅一个RTT
TLS 1.3 0-RTT会话恢复
TLS 1.2中通过1个RTT即可完成会话恢复,那么TLS
1.3是如何做到0 RTT连接的?当一个支持TLS 1.3的客户端连接到同样支持TLS 1.3的服务器时,客户端会将收到服务器发送过来的Ticket通过相关计算,一起组成新的预共享密钥,PSK(PreSharedKey)。客户端会将该PSK缓存在本地,在会话恢复时在Client Hello上带上PSK扩展,同时通过之前客户端发送的完成(finished)计算出恢复密钥(Resumption Secret)通过该密钥加密数据发送给服务器。服务器会从会话Ticket中算出PSK,使用它来解密刚才发过来的加密数据。至此完成了该0-RTT会话恢复的过程。
以上简单描述了TLS 1.3建立连接的大致流程,也解释了为什么TLS 1.3相比于之前的TLS 1.2会有更出色的性能表现。
总结
TLS 1.3将是Web性能以及安全的一个新的里程碑,为HTTPS连接提速,淡化了大家之前对使用HTTPS性能上的隐忧。随着HTTP/2的不断普及,全网HTTPS将成为一种必然。
沃通SSL证书
沃通SSL证书帮助网站快速实施HTTPS加密。沃通SSL证书Pre系列产品支持所有浏览器和各种新老操作系统,支持各种新老移动终端,并提供细致的本地化客户服务和专业的一对一技术支持,十余年的证书行业服务经验,帮助用户应对各类复杂应用场景,更加快捷地完成证书部署。