TLS 1.3 正式成為官方標(biāo)準(zhǔn)
責(zé)編:gltian |2018-08-17 13:35:45上周末,TLS 1.3 成為官方標(biāo)準(zhǔn),宣告該重要互聯(lián)網(wǎng)安全協(xié)議的全面審核已經(jīng)完成。
互聯(lián)網(wǎng)工程任務(wù)組(IETF)將 TLS 1.3 描述成為現(xiàn)代互聯(lián)網(wǎng)設(shè)計(jì)的重大修改,稱本次更新包含了在安全、性能和隱私方面的重大改進(jìn)。
其中最大的改進(jìn)在于令竊聽者更難以解密攔截到的流量了。該新協(xié)議的主要推手,是2013年斯諾登爆料的美國(guó)國(guó)家安全局(NSA)互聯(lián)網(wǎng)通信大眾監(jiān)視。
TLS 1.3 改版工作是從2014年4月開始,至今年3月最終獲準(zhǔn)之時(shí),已經(jīng)是第28稿了。該協(xié)議是互聯(lián)網(wǎng)流量加密的核心,工程師們不得不慎而又慎,直到8月10日才最終確認(rèn)。
該新版TLS——有人認(rèn)為因?yàn)楦膭?dòng)太大都可以稱之為 TLS 2.0 了,至少?gòu)U止了3個(gè)RFC,并更新了另外2個(gè)RFC。按照現(xiàn)狀來看,TLS 1.3 所用算法中不存在任何已知安全漏洞;不同于1.2獲準(zhǔn)的時(shí)候的狀況。
于是,我們就來到了新 RFC 8446 最關(guān)鍵的部分:實(shí)際實(shí)現(xiàn)該標(biāo)準(zhǔn)。
替換簡(jiǎn)易但也存在問題
本月初,新版TLS編撰者,HTTPS專家 Eric Rescorla 表示,因?yàn)榇饲耙呀?jīng)做了很多工作方便新協(xié)議的部署,實(shí)現(xiàn)起來應(yīng)該不會(huì)太難。
這就是對(duì) TLS 1.2 的簡(jiǎn)易替換,密鑰和證書都是同一套,客戶端和服務(wù)器在都支持新協(xié)議的情況下也能自動(dòng)協(xié)商 TLS 1.3。而且有相當(dāng)完善的庫(kù)支持,Chrome和Firefox瀏覽器都默認(rèn)啟用 TLS 1.3。
但實(shí)施問題也不是沒有:之前的協(xié)議稿打破了很多中間件;馬里蘭州某IT學(xué)校管理員報(bào)告稱,其管理的5萬臺(tái)Chromebook電腦有1/3都在協(xié)議升級(jí)后死機(jī)了——谷歌因此暫停了Chrome對(duì)新協(xié)議的支持計(jì)劃。
TLS 1.3 的工作機(jī)制還引來了銀行業(yè)的緊急修改請(qǐng)求,希望能在系統(tǒng)中加入一個(gè)后門,因?yàn)樾聟f(xié)議會(huì)然讓他們失去自家網(wǎng)絡(luò)上的可見性。為此,工程師們又做了改進(jìn),目前的普遍看法是,如果 TLS 1.3 破壞了你的網(wǎng)絡(luò)監(jiān)視,那可能是你的做法有問題。
IETF強(qiáng)調(diào):在官方蓋戳認(rèn)證之前,任務(wù)組已經(jīng)做了很多工作以確保1.3在現(xiàn)實(shí)世界情況中經(jīng)受測(cè)試。
TLS 1.3 開發(fā)過程包括了大量的‘運(yùn)行代碼’工作,也就是由Web瀏覽器和內(nèi)容分發(fā)網(wǎng)絡(luò)等互聯(lián)網(wǎng)常用工具及服務(wù)提供商來建立并測(cè)試協(xié)議實(shí)現(xiàn)。
除了安全上的改進(jìn),新協(xié)議也網(wǎng)絡(luò)性能上也有提升。新版TLS對(duì)資源的需求沒那么高,效率倒是有所增加——既減少了延時(shí),又降低了CPU使用率。
還有個(gè)漏洞?
若說新協(xié)議還有什么弱點(diǎn),那就是新增的所謂“0往返時(shí)延(RTT)恢復(fù)”組件的安全顧慮。該組件可令曾經(jīng)交互過的客戶端和服務(wù)器彼此記住,然后省去所需安全檢查,使用之前用過的密鑰立即展開通信。
這么做可以加快連接速度,但也打開了潛在的安全漏洞,希望利用 TLS 1.3 的黑客肯定會(huì)注意到這一點(diǎn)。該組件是谷歌之類將從海量連接的提速中收獲巨大利益的科技巨頭極力推動(dòng)的,但有人擔(dān)心這種做法搞不好會(huì)反咬大家一口。有些公司因此而并沒有實(shí)現(xiàn)0-RTT。
但拋開這個(gè)不談,TLS 1.3 代表了整體安全上的大飛躍。加之實(shí)現(xiàn)起來不是太難,系統(tǒng)管理員們完全可以放心大膽地切換到 TLS 1.3 上去。而且,既然1.3能提升整體安全,遲早拋棄早期的不安全協(xié)議十分必要,為此,甚至有人提議官方廢止 TLS 1.0 和 1.1。
TLS 1.3 原文下載地址:
https://www.rfc-editor.org/rfc/pdfrfc/rfc8446.txt.pdf
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧