IETF正式批准TLS1.3成为互联网新标准

TLS1.3

互联网工程任务组（IETF）已正式批准TLS 1.3作为传输层安全协议（TLS）的下一个主要版本。

在经过了长达4年改了28次草案后，TLS1.3终于问世了！

它将成为客户端和服务器通过https连接建立加密通信的最新标准。

更好的加密 更少的延迟

相较前任版本，TLS 1.3有几个显著的优点。其最大的特点是使用了较新和难以破解的加密算法（ChaCha20，Poly1305，Ed25519，x25519和x448）来替代从前的MD5、SHA-224等。

其次在谈判客户端和服务器之间的初次握手时，TLS 1.3也快了不少，解决了多家公司因为延迟而坚持不支持HTTPS的顾虑。

第三，TLS 1.3还将支持TLS False Start和零往返时间（0-RTT）等功能，有助于缩短加密握手所需的时间。

第四，TLS 1.3具有防止降级攻击的功能。攻击者无法通过使用旧版协议的方式开展已知的漏洞攻击。

拒绝后门

TLS 1.3对互联网的安全性起到了很大的促进作用，在当今可称得上是几乎不可能破解。

在之前的报道中我们曾提及，金融部门成员要求在协议里引入后门，而IETF成员在最后依然拒绝了这一要求，一致通过了零后门协议。

金融部门的要求在提议之初就遭嘲讽，而今被打脸已成定局。

中间设备仍是难题

Chrome，Edge，Firefox和Pale Moon等浏览器已经推出了对早期版本TLS 1.3草案的支持，现在预计会将此支持更新为官方标准。

尽管浏览器厂商们将身先士卒实施TLS 1.3，该协议面临的主要难题还是那些旧的互联网中间设备。接收固件更新以支持新协议还得花费不少时间。

2017年12月进行的一项Cloudflare调查显示，TLS 1.3仅占互联网HTTPS流量的0.06％，而这种微不足道的市场份额的主要原因是许多中间商故意降级流量，因为他们无法支持它。

这些老旧的互联网中间设备也是2017年2月事件的核心。当时超过5万台Chromebook遇到各种问题，只因为谷歌在Chrome OS里率先使用TLS 1.3却遇上了屏幕闪烁、电脑变砖的尴尬。而最终，谷歌妥协，撤回TLS 1.3才让机器重新恢复正常运行。