kn007的个人博客
♥ You are here: > > > 也聊博客TLS 1.3

也聊博客TLS 1.3

by | 20 Comments

Hi,大家好,我又来水文了,这次聊聊TLS 1.3。(其实是为了掩饰之前的更新类文章)

经过4年的时间,日前IETF已正式批准TLS 1.3作为下一个TLS主要标准。

目前草案实行到28,详细见传送门。其中与TLS 1.2的不同及好玩之处,就不表了(给几个关键词:高速握手、新加密算法、非AEAD移除)。

大家可以自行翻看、搜索,尝试发现亮点(请抱着有趣的灵魂去发现事物)。

另外此标准较之前标准,改动可以说十分巨大。ServerHello之后的所有握手消息采取了加密操作。总体来说,TLS 1.3拥有更快的访问速度以及更高的安全性。

先来报告下博客环境:

系统:CentOS 7 x64,系统更新保持最新,必要组件和库也保持最新,详见附件1。

系统级OpenSSL:1.1.0h,打了Patch(优化X25519、ECDSA效率,动态使用ChaCha加密),系统旧有依赖老版本OpenSSL的组件也已改为使用新版本。

Nginx:1.13.11,使用了OpenSSL 1.1.1-pre4,以及Cloudflare的Zlib分支等,打了Patch(恢复SPDY协议支持,HTTP2 HPACK加密支持,动态TLS记录支持,SSL_OP_PRIORITIZE_CHACHA支持),再次对我的Patch做下小广告。

PHP:7.2.4,使用系统级OpenSSL(即1.1.0h)。

关于博客HTTPS状态,可以见SSLLAB及附件2。

目前博客TLS 1.3使用着Draft 26版本,但貌似主流浏览器只支持到Draft 23版本,所以浏览器看不到效果,这点可惜了。

据说BoringSSL已经在TLS 1.3上已支持到Draft 28(861f384),但其本身不支持OCSP Stapling。大家也可以尝尝鲜。

跟HTTP/2一样,TLS 1.3完全值得期待,这是一个激动人心的协议更新,毕竟它使得HTTPS速度更快,而且更安全。

另外一点就是Let's Encrypt的泛域名证书也出来,免费的泛域名证书,使得HTTPS的成本几乎为0。

说了这么多TLS 1.3的事(比较乱,不是很系统),我还是希望能尽快完善后,作为rfc发布。毕竟现在浏览器都不能很好的完全支持,而且各家加密算法库的新版本更新密集,新的草案又无法向下兼容,这算是个痛点。

还有,大家如有兴趣了解更多关于TLS 1.2与TLS 1.3对比的话,可以看下这个视频,Filippo Valsorda就TLS 1.2和TLS 1.3之间的差异进行了精彩的演讲,传送门

说说其他好玩的,从DCC那听说的一个速度很快的Nginx。也就是Google建的Nginx分支,传送门,需要采用bazel编译(而且推荐使用Debian),且目前只支持到TLS 1.2。但在编译上因为使用了bazel编译,速度很快。加上本身代码优化使得Nginx在大的场景又变快了。

说到Google,值得一提的是Google的项目ngx_brotli,也就是著名的Brotli压缩算法支持。目前已有一年多没有任何消息及更新,如同issue #62所说,或许该关闭这一项目。

但不要担心,目前Google的一位员工eustas,他的分支仍在维护,并且积极完善修复bug。我们可以使用这个仍有活力的分支来作为替代品,分支地址见传送门

因为图都太长了,所以作为附件展示。

附件1:

附件2:

注:博客使用着OpenSSL 1.1.1-pre4的Nginx 1.13.11,lua-nginx-module在这里目前使用正常,未出现问题。可喜可贺。


经提醒,貌似由于访问博客时尝试使用TLS 1.3,会导致GG。现在rollback到1.1.0h。

最后使用了OpenSSL 1.1.1-pre2。

转载请注明转自:kn007的个人博客的《也聊博客TLS 1.3

donate
有所帮助?

Comments

20 Comments立即评论
Loading...
  1. 标题改成 更新至TLS 1.3 比较合适 :oops:

    1. MOD回复

      @liwanglin12: :o 看在你是寿星的份上,原谅你了 :sad:

  2. 用 pre2 不就行了 233333

    1. MOD回复

      @Love4Taylor: pre2。。。。上次忘记有个啥bug了,然后也是握手失败。

    2. MOD回复

      @Love4Taylor: 先用着pre2看看,忘记是啥问题了 :grin:

  3. 更新相当及时了

    1. MOD回复

      @路易大叔: :arrow: 还好,必须更新了

  4. 回复

    我也觉得,博客更新至支持TLS1.3,比较靠谱23333

    1. MOD回复

      @DickWu: 搞事情你们 :grin:

  5. 啥时候出正式稿啊

    1. MOD回复

      @ivmm: 正式确立后,几个月内会正式版,按正常来说。
      也就是说应该也就这几个月的事了。 :oops:

      现在就是各方努力实施的事情了。rfc应该很快了。

      我觉得10月1日前能正式用上,就很开心了。

      当然快的话,暑假那段时间可能就出来了。

  6. :razz: 发现你还是1.2 :o

    1. MOD回复

      @灰常记忆: 是啊,rollback了啊,文末说了。rollback后已经不再是draft26了,又懒得编译pre2去支持draft 23了,就这样吧。

  7. 回复

    ;-) 恭喜加入 TLS 1.3 !

    好了言归正传/

    貌似很少在浏览过的博客留下评论,嗯 2018 年的第一次就给你了。 :razz:

    1. MOD回复

      @Seon: 该除草了。
      2018才第一次,不能继续懒了

  8. 回复

    等支持完善了我也折腾一下~~

    1. MOD回复

      @深蓝: 这个可以有

  9. 这种文章,一眼还能5行的阅读,的确挺牛,哈哈。

  10. LV2回复

    同感觉 标题用 更新至TLS 1.3 更合适 :oops: 2333333

    1. MOD回复

      @旸: :?: 你们不能这样啊 :!:

icon_wink.gificon_neutral.gificon_mad.gificon_twisted.gificon_smile.gificon_eek.gificon_sad.gificon_rolleyes.gificon_razz.gificon_redface.gificon_surprised.gificon_mrgreen.gificon_lol.gificon_idea.gificon_biggrin.gificon_evil.gificon_cry.gificon_cool.gificon_arrow.gificon_confused.gificon_question.gificon_exclaim.gif