其实现在大部分国内网站都还在使用TLSv1.2,例如百度:
但是我呢为了网gèn站yǒu安bī全gé,只要是澪运营的所有产品都启用了TLSv1.3
不仅使用了TLSv1.3,加密等级也比百度高一等(AES_128_GCM<AES_256_GCM)但是,百度使用的是OV证书(肯定比免费的ISRG证书强),后续,我是说后续,可能会换上更??的OV或者EV证书 现在肯定不可能的,1本OV证书都得上千了<至少两个月生活费>!
但TLSv1.3比起TLSv1.2有质的飞跃:(科普时间到)
1、安全强化
TLSv1.3在密钥交换上,完全支持了PFS,防止私钥被破解之后历史数据也能被解密成明文。∴,TLSv1.3协议中废除了不支持前向安全性的RSA和静态DH密钥交换算法。
DSA证书作为历史遗留产物,因安全性差,从未被大规模应用,在TLSv1.3协议中被废弃。
TLSv1.3在对称加密方面,完全禁用了安全系数较小的RC4加密算法与SHA1签名算法。
并且由于TLS压缩存在安全漏洞,TLSv1.3协议删除了该特性。
最重要的是TLv1.3协议中规定在ServerHello消息之后的握手信息需要加密。TLSv1.2及之前版本的协议中各种扩展信息在ServerHello中以明文方式发送,新版本中可在加密之后封装到EncryptedExtension消息中,在ServerHello消息之后发送,提高数据安全性。
2、提升效率
HTTPS在提高网络安全的同时却增加了额外的性能消耗,包括额外的SSL握手交互过程,数据加解密对CPU的消耗等。TLS1.3在提高效率方面进行了大量改进,特别是对SSL握手过程进行了重新设计,将握手交互延时从2-RTT降低至1-RTT甚至是0-RTT。在网络环境较差或节点距离较远的情况下,这种优化能节省几百毫秒的时间。这几百毫秒往往就能决定用户下一步的行为是继续浏览网页还是关闭网页。
所以综合上述升级,澪空系列服务也同时禁用了旧的TLSv1.0<已禁用>与TLSv1.1<将在未来几日禁用>来提升整体的数据安全性,毕竟用户的数据安全也是很重要的一个方面。
并且,为了做到完全兼容,澪空系列服务在此次的调整中也同步停止了IE浏览器与早期浏览器的支持:
| 浏览器 | 版本 | 支持状态 |
| IE | 所有版本 | 中断连接 |
| Chrome | 49以下 | 拒绝连接或连接不安全 |
| Firefox | 75及以下 | 连接不安全、无公用加密算法或拒绝连接 |
| Safari | iOS10、MacOS10.13以下 | 非私人连接或拒绝连接 |
| Opera | 8及以下 | 不安全或拒绝连接 |
| 其他早期浏览器(如Safari for Windows®、世界之窗) | / | 连接不安全、无公用加密算法、拒绝连接、页面错位等 |
文章终有一收,所以:
再见啦( ˘•㉨•˘ )
发表回复
要发表评论,您必须先登录。