HTTPS 加密時代已經來臨，近兩年，Google、Baidu、Facebook 等網際網路巨頭，不謀而合地開始大力推行 HTTPS， 2018 年 7 月 25 日，Chrome 68 上線，所有 HTTP 網站都會被明確標記為“不安全”。國內外大到 Google、Facebook 等巨頭，小到個人部落格在內的眾多網站，以及登陸 Apple App Store 的 App，微信的小程式，都已經啟用了全站 HTTPS，這也是未來網際網路發展的趨勢。

有得必有失，HTTPS 雖然增加了網站安全性，但因為 HTTPS 握手次數增加，會一定程度上降低使用者訪問速度。為了使 HTTPS 達到更快的資料傳輸效能，並且在傳輸過程中更加安全，又拍雲 CDN 已支援 TLS 1.3 新特性。下文簡單介紹下 TLS 1.3 的新特性，讓你明白相較於TLS 1.2，TLS 1.3 強大在哪裡。

帶你認識 TLS

通常所說的 HTTPS 協議，說白了就是 “HTTP 協議” 和 “SSL/TLS 協議” 的組合。SSL 是 “Secure Sockets Layer” 的縮寫，中文意思為“安全套接層”，而 TLS 則是標準化之後的 SSL。

TLS（Transport Layer Security Protocol，傳輸層安全協議）主要目的是提供隱私和資料兩個通訊應用之間的完整性。該協議由兩層組成：TLS 記錄協議（TLS Record）和 TLS 握手協議（TLS Handshake）。

當使用 TLS 時，客戶端和伺服器之間的連線具有以下一個或多個屬性：

• 連線私密性：使用對稱加密演算法用於加密資料的傳輸，例如 AES [AES], RC4 [SCH] 等
• 可以使用公鑰加密來驗證通訊方的身份
• 連線可靠性：傳送的每個訊息都使用 MAC（訊息認證碼） 進行完整性檢查

低版本 TLS 之殤

Netscape（網景公司） 在 1994 年時提出了 SSL 協議的原始規範， TLS 協議也經過了很多次版本的更新。目前低版本的 TLS （例如：SSL 3.0/TLS 1.0 等）存在許多嚴重漏洞。另外根據 Nist（美國國家標準與技術研究院）所說，現在沒有補丁或修復程式能夠充分修復低版本 TLS 的漏洞，儘快升級到高版本的 TLS 是最好的方法。

目前行業正處於 TLS 1.2 取代 TLS 1/1.1 的過渡時期，將來會有越來越多的網際網路安全企業啟用 TLS 1.2。它引入了 SHA-256 雜湊演算法，摒棄了 SHA-1，對增強資料完整性有著顯著優勢。

又拍雲提供最低 TLS 版本管理功能，只需登陸又拍雲控制檯，選擇服務，進入「配置」即可開啟。配置過程中，選擇的協議級別越高，相應的也就更安全，但是可以支援的瀏覽器也就越少，有可能會影響終端使用者訪問，請謹慎選擇配置。

TLS 1.3 VS TLS 1.2，強大盡顯

TLS 1.3 是時隔九年對 TLS 1.2 等之前版本的新升級，也是迄今為止改動最大的一次。針對目前已知的安全威脅，IETF（Internet Engineering Task Force，網際網路工程任務組） 正在制定 TLS 1.3 的新標準，使其有望成為有史以來最安全，但也最複雜的 TLS 協議。

TLS 1.3 與之前的協議有較大差異，主要在於：

• 相比過去的的版本，引入了新的金鑰協商機制 — PSK
• 支援 0-RTT 資料傳輸，在建立連線時節省了往返時間
• 廢棄了 3DES、RC4、AES-CBC 等加密元件，廢棄了 SHA1、MD5 等雜湊演算法
• ServerHello 之後的所有握手訊息採取了加密操作，可見明文大大減少
• 不再允許對加密報文進行壓縮、不再允許雙方發起重協商
• DSA 證書不再允許在 TLS 1.3 中使用

對比舊協議中的不足，TLS 1.3 確實可以稱得上是向前邁了一大步。既避免之前版本出現的缺陷，也減少了 TLS 握手的時間。

總結一下，TLS 1.3 與以前的版本相比具有如下兩個大的優勢，分別是：

更快的訪問速度

為了對比 TLS 1.3 在 TLS 握手階段的變化， 這裡將 TLS 1.2 和 TLS 1.3 在 TLS 握手階段進行對比。