如何启用 TLS 1.3?

什么是 TLS 1.3?
TLS 1.3 是 TLS 协议的最新且最安全的版本。它具有比旧版本更短的延迟以及多个新功能。

了解有关 Cloudflare 中 TLS 1.3 支持的更多信息,请阅读博文: 你得到了 TLS 1.3!你得到了 TLS 1.3!每个人都得到了 TLS 1.3!

什么是 0-RTT?
0-RTT 是一项可为先前已连接到您网站的客户提高性能的功能。它允许在完全建立 TLS 连接之前发送客户端的第一个请求,从而加快连接速度。

什么是 Early-Data 标头?
攻击者可能会重复发送包含 0-RTT 的第一个请求。这可能导致 Cloudflare 多次向源站发送相同请求。为帮助您确定何时请求被重复发送,Cloudflare 在通过 0-RTT 发送的所有请求中均包含名为“Early-Data”的新标头。在这种情况下,标头的值为 1 。您可以使用此标头来决定是否接受在 0-RTT 连接阶段发送的特定请求。

如何为在 CloudFlare 上的站点启用 TLS 1.3?

可在 Cloudflare 控制面板的 Crypto 应用中启用 TLS 1.3(开启或不开启 0-RTT)。

cf_crypto_tls1.3.png

是否需要源站支持 TLS 1.3 才能使用此功能?

不需要。客户端 TLS 1.3 连接会在 Cloudflare 节点服务器终止,并且不要求您在源站上支持 TLS 1.3。此外,我们目前不支持从Cloudflare到源站使用TLS 1.3或者计划在不久的将来支持。因此,一般来说,在您的源站上启用 TLS 1.3 是出于您自己的目的。

如何在浏览器中使用 TLS 1.3?

当前在 Chrome(从第 66 版开始)和 Firefox(从第 60 版开始)中以及在 Safari 和 Edge 浏览器的开发中都支持 TLS 1.3。

对于 Chrome:

  1. 在地址栏中输入chrome://flags ,然后按 Enter。
  2. 滚动查找 TLS 1.3 条目,并将其设置为已启用。 您将收到一条消息,显示更改将在您下次重新启动 Chrome 时生效。
  3. 单击立即重新启动,重新启动 Chrome。

启用 TLS 1.3 后,访问在 HTTPS 上启用了 TLS 1.3 的站点。然后:

  1. 打开 Chrome 开发者工具
  2. 单击 Security 选项卡。
  3. 重新加载页面(Mac OS 中为 Command-R,Windows 中为 Ctrl-R
  4. 单击 Main origin 下的站点。
  5. 查看下的右侧选项中的 Connection ,确认 protocol 为TLS 1.3(参见下图)。

tls1.3_chrome_dev_tools_security.png

对于 Firefox:

  1. 在地址栏中,输入 about:config,然后单击以接受警告。
  2. 搜索 security.tls.version.max,并将其设置为默认值 34

启用 TLS 1.3 后,访问在 HTTPS 上启用了 TLS 1.3 的站点。然后:

  1. 单击地址栏中的绿色锁图标,然后单击 >。
  2. 单击更多信息
  3. 在“Technical Details”下,验证 TLS 版本是否为 TLS 1.3(参见下图)。

tls1.3_firefox_more_info_security_ann.png

如果我在使用 TLS 1.3 时遇到错误/其他问题该怎么办?

由于 TLS 1.3 实现相对较新,因此可能会发生一些问题。为了帮助我们定位配置的问题,请提交包含以下信息的 Cloudflare 提单:

  • 重现问题的步骤(如果可能)
  • 客户端版本
  • 任何客户端诊断信息
  • 网络抓包信息。

有了以上信息,我们的技术团队就能够进行进一步排查。

Chrome 用户应提交 net-internals 跟踪。Firefox 用户应向 Mozilla 报告错误,如果他们确定问题与 Cloudflare 有关,则提交他们确定与 Cloudflare 有关的日志。 

 

Not finding what you need?

95% of questions can be answered using the search tool. This is the quickest way to get a response.

由 Zendesk 提供技术支持