了解 TLS 1.3

了解与以前的 TLS 版本相比,TLS 1.3 如何提高安全性和减少延迟。  了解如何为 Cloudflare 域启用 TLS 1.3。


概述

TLS 1.3 是 TLS 协议的最新且最安全的版本。它具有比旧版本更短的延迟以及多个新功能。  当前在 Chrome(从第 66 版开始)和 Firefox(从第 60 版开始)中以及在 Safari 和 Edge 浏览器的开发中都支持 TLS 1.3。


启用 TLS 1.3

在 Cloudflare SSL/TLS 应用的 TLS 1.3 部分中启用 TLS 1.3(含或不含 0-RTT)。

0-RTT 是一项可为先前已连接到您网站的客户提高性能的功能。它允许在完全建立 TLS 连接之前发送客户端的第一个请求,从而加快连接速度。

攻击者可能会重复发送包含 0-RTT 的第一个请求。这可能导致 Cloudflare 多次向源站发送相同请求。为帮助您确定何时请求被重复发送,Cloudflare 在通过 0-RTT 发送的所有请求中均包含名为 Early-Data 的新标头。在这种情况下,标头的值为 1 。您可以使用此标头来决定是否接受在 0-RTT 连接阶段发送的特定请求。

要在 Chrome 浏览器中启用TLS 1.3,请执行以下操作:

  1. 在地址栏中输入 chrome://flags,然后按 Enter。
  2. 滚动查找 TLS 1.3 条目,并将其设置为已启用。 您将收到一条消息,显示更改将在您下次重新启动 Chrome 时生效。
  3. 单击立即重新启动,重新启动 Chrome。

启用 TLS 1.3 后,访问在 HTTPS 上启用了 TLS 1.3 的站点。然后:

  1. 打开 Chrome 开发者工具
  2. 单击 Security 选项卡。
  3. 重新加载页面(Mac OS 中为 Command-R,Windows 中为 Ctrl-R)。
  4. 单击 Main origin 下的站点。
  5. 查看下的右侧选项中的 Connection,确认 protocol 为TLS 1.3(参见下图)。

tls1.3_chrome_dev_tools_security.png

对于 Firefox:

  1. 在地址栏中,输入 about:config,然后单击以接受警告。
  2. 搜索 security.tls.version.max,并将其设置为默认值 34

启用 TLS 1.3 后,访问在 HTTPS 上启用了 TLS 1.3 的站点。然后:

  1. 单击地址栏中的绿色锁图标,然后单击 >。
  2. 单击更多信息
  3. 在“Technical Details”下,验证 TLS 版本是否为 TLS 1.3(参见下图)。

tls1.3_firefox_more_info_security_ann.png

由于 TLS 1.3 实现相对较新,因此可能会发生一些问题。  如果您遇到错误,请提交包含以下信息的 Cloudflare 支持票证:

  • 重现问题的步骤(如果可能)
  • 客户端版本
  • 客户端诊断信息
  • 网络抓包信息

Chrome 用户应向 Google 提交 net-internals 跟踪。Firefox 用户应向 Mozilla 报告错误


相关资源

你得到了 TLS 1.3!你得到了 TLS 1.3!每个人都得到了 TLS 1.3!

 

Not finding what you need?

95% of questions can be answered using the search tool. This is the quickest way to get a response.

由 Zendesk 提供技术支持