HTTP协议27丨更好更快的握手:TLS1.3特性解析

最新推荐文章于 2024-07-31 19:29:25 发布
最新推荐文章于 2024-07-31 19:29:25 发布
阅读量749 收藏 30
点赞数 26
分类专栏: 软件工程&软件测试 文章标签: http 网络 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53280238/article/details/140280788
版权

上一讲中我讲了 TLS1.2 的握手过程,你是不是已经完全掌握了呢?

不过 TLS1.2 已经是 10 年前(2008 年)的“老”协议了,虽然历经考验,但毕竟“岁月不饶人”,在安全、性能等方面已经跟不上如今的互联网了。

于是经过四年、近 30 个草案的反复打磨,TLS1.3 终于在去年(2018 年)“粉墨登场”,再次确立了信息安全领域的新标准。

在抓包分析握手之前,我们先来快速浏览一下 TLS1.3 的三个主要改进目标:兼容安全与性能

最大化兼容性

由于 1.1、1.2 等协议已经出现了很多年,很多应用软件、中间代理(官方称为“MiddleBox”)只认老的记录协议格式,更新改造很困难,甚至是不可行(设备僵化)。

在早期的试验中发现,一旦变更了记录头字段里的版本号,也就是由 0x303(TLS1.2)改为 0x304(TLS1.3)的话,大量的代理服务器、网关都无法正确处理,最终导致 TLS 握手失败。

为了保证这些被广泛部署的“老设备”能够继续使用,避免新协议带来的“冲击”,TLS1.3 不得不做出妥协,保持现有的记录格式不变,通过“伪装”来实现兼容,使得 TLS1.3 看上去“像是”TLS1.2。

那么,该怎么区分 1.2 和 1.3 呢?

这要用到一个新的扩展协议(Extension Protocol),它有点“补充条款”的意思,通过在记录末尾添加一系列的“扩展字段”来增加新的功能,老版本的 TLS 不认识它可以直接忽略,这就实现了“后向兼容”。

在记录头的 Version 字段被兼容性“固定”的情况下,只要是 TLS1.3 协议,握手的“Hello”消息后面就必须有“supported_versions”扩展,它标记了 TLS 的版本号,使用它就能区分新旧协议。

其实上一讲 Chrome 在握手时发的就是 TLS1.3 协议,你可以看一下“Client Hello”消息后面的扩展,只是因为服务器不支持 1.3,所以就“后向兼容”降级成了 1.2。

 


 
  

   
    
Handshake Protocol: Client Hello
 		
  

  

   
    
Version: TLS 1.2 (0x0303)
 		
  

  

   
    
Extension: supported_versions (len=11)
 		
  

  

   
    
Supported Version: TLS 1.3 (0x0304)
 		
  

  

   
    
Supported Version: TLS 1.2 (0x0303)
 		
  

 

 

复制代码
 

TLS1.3 利用扩展实现了许多重要的功能,比如“supported_groups”“key_share”“signature_algorithms”“server_name”等,这些等后面用到的时候再说。
 

强化安全
 

TL

                

        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  程序员zhi路
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    26
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    30
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
                
  • 
                  
                    打赏
                    
                  
                  
    打赏
    
                
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
CIAA 网络安全模型 — TLS v1.3HTTPS 协议

				
			

			

				

					烟云的计算
				

				

					05-10
					
					2347
					
				

			

		

		

			
				
举个例子:网站 https://www.example.com、https://www.something.com、https://www.another-website.com、https://www.example.io 被托管在相同的 Web 服务器中(相同的 IP 地址),若 SNI 扩展指定为 https://www.example.com,那么 Web 服务器就会返回 https://www.example.com 的 TLS 本地设备证书到客户端,继而建立正确的安全的连接。

			
		

	



                

              
                



	

		

			

				
					
HTTP协议30  2特性概览

				
			

			

				

					qq_53280238的博客
				

				

					07-08
					
					1087
					
				

			

		

		

			
				
刚结束的“安全篇”里的 HTTPS,通过引入 SSL/TLS 在安全上达到了“极致”,但在性能提升方面却是乏善可陈,只优化了握手加密的环节,对于整体的数据传输没有提出更好的改进方案,还只能依赖于“长连接”这种“落后”的技术(参见所以,在 HTTPS 逐渐成熟之后,HTTP 就向着性能方面开始“发力”,走出了另一条进化的道路。在的 HTTP 历史中你也看到了,“秦失其鹿,天下共逐之”,Google 率先发明了 SPDY 协议,并应用于自家的浏览器 Chrome,打响了 HTTP 性能优化的“第一枪”。

			
		

	



                


  
              

                


	

		

			

				
					
27 | 更好更快握手TLS1.3特性解析

				
			

			

				

					qq_37756660的博客
				

				

					10-31
					
					1519
					
				

			

		

		

			
				
上一讲中讲了 TLS1.2 的握手过程,你是不是已经完全掌握了呢?不过 TLS1.2 已经是 10 年前(2008 年)的“老”协议了,虽然历经考验,但毕竟“岁月不饶人”,在安全、性能等方面已经跟不上如今的互联网了。于是经过四年、近 30 个草案的反复打磨,TLS1.3 终于在去年(2018 年)“粉墨登场”,再次确立了信息安全领域的新标准。。

			
		

	





	

		

			

				
					
罗剑锋透视HTTP协议学习笔记---27 | 更好更快握手TLS1.3特性解析

				
			

			

				

					James的博客
				

				

					04-23
					
					403
					
				

			

		

		

			
				
27 | 更好更快握手TLS1.3特性解析
TLS1.3 发布于2018年,在保证兼容性的背景下,增强了安全性,提高了性能。
兼容性:
为了兼容性大量支持TLS1.2的老旧设备,TLS1.3采用了和1.2一样的报文格式,甚至版本号都伪装成1.2,它通过extension:support_versions字段标识其支持1.3。
注1:wireshark有一定的智能型,能够根据Server Hello的回应,把Client Hello标记为1.2,即使Client Hello消息是按1.3格式发送的
注2:

			
		

	



		

			
		



	

		

			

				
					
TLS1.3 概述

				
			

			

				

					qq_35324057的博客
				

				

					04-08
					
					7670
					
				

			

		

		

			
				
TLS1.3的最终版本,在2018年8月发布,它包含着很多不同以往版本的改进,相对于之前版本安全性以及性能具有极大的提高,同时它也具备了更多的扩展和握手模式,那么从实现完整TLS1.3结构的角度去学习TLS,我们应该从哪些方面入手呢?

什么是TLS

TLS代表传输层安全性,并且是SSL(安全套接字层)的后继者。TLS提供了Web浏览器和服务器之间的安全通信。连接本身是安全的,因为使用对称密码...

			
		

	





	

		

			

				
					
TLS握手流程分析

				
			

			

				

					weixin_43894455的博客
				

				

					01-15
					
					1924
					
				

			

		

		

			
				
客户端发送:用于初始化会话消息,该消息主要包含如下信息:: 客户端发送它所支持的最高 SSL/TLS 版本;:一个 32 字节的客户端随机数,该随机数被服务端生成通信用的对称密钥(master secret);:session ID 被客户端用于恢复之前的会话: 客户端发送它所支持的加密套件列表服务端发送:服务端发送双方所支持的最高的 SSL/TLS 版本;:一个 32 字节的服务端随机数,被客户端用于生成通信用的对称密钥(master secret);:用于会话恢复;

			
		

	





	

		

			

				
					
传输层安全协议TLS——密码学概述

				
			

			

				

					N阶二进制的博客
				

				

					11-18
					
					1062
					
				

			

		

		

			
				
TLS 1.3 是一种用于保障网络通信安全的协议,它是 TLS(Transport Layer Security)协议的最新版本。TLS 1.3 通过提供更强大的安全性、更快握手过程和更好的性能来改进先前的版本。TLS 1.3握手过程相较于 TLS 1.2 更为简化,减少了往返次数,提高了握手速度。在 TLS 1.3 中,只需要一轮往返(1-RTT)即可建立安全连接。TLS 1.3 引入了 0-RTT 握手模式,允许客户端在第一次连接时发送数据,从而加速连接建立。

			
		

	





	

		

			

				
					
TLS1.3中文版上(RFC8446)(注:本文有错误但无法修改,正确的见后来文章)

				
			

			

				

					aashuii的博客
				

				

					05-30
					
					2606
					
				

			

		

		

			
				
摘要
本文规定了TLS协议的1.3版本。TLS为CS模式应用提供了一种设计为防止监听、篡改和伪造的Internet通信方式。

本文为RFC5705和RFC6066的更新版,淘汰了RFC5077、RFC5246和RFC6961。本文也规定了实现TLS1.2的新要求。

1.  介绍
 TLS 的主要目标是为通信双方提供一个安全的通道;对下层传输的唯一要求是提供可靠保序的数据流。安全通道尤其应该提供如下属性:

	认证(Authentication):server端应该总是需要认证的;client端可以选择

			
		

	





	

		

			

				
					
TLS1.3 协议的Golang 实现——ClientHello

				
			

			

				

					yunqishequ1的博客
				

				

					05-11
					
					1482
					
				

			

		

		

			
				
前言撰写本文时TLS1.3 RFC 已经发布到28版本。以前写过一点密码学及TLS 相关的文章,为了更深入理解TLS1.3协议,这次将尝试使用Go语言实现它。网络上已有部分站点支持TLS1.3,Chrome浏览器通过设置可支持TLS1.3 (draft23),利用这些条件可验证,我们实现的协议是否标准。完整的实现TLS1.3 工作量很大,概念和细节非常多(感觉又在挖坑)。本文首先会从ClientH...

			
		

	





	

		

			

				
					
如何让Nginx快速支持TLS1.3协议详解

				
			

			

				

					09-30
				

			

		

		

			
				
【如何让Nginx快速支持TLS1.3协议详解】  Nginx 是一款广泛应用的高性能Web服务器和反向代理服务器,其对TLS(Transport Layer Security)协议的支持是保证网络安全的重要一环。TLS 1.3是最新且最安全的TLS协议版本...

			
		

	





	

		

			

				
					
tls13-spec:TLS 1.3规范

				
			

			

				

					04-13
				

			

		

		

			
				
TLS 1.3规范草案 这是[TLS 1.3]的草案的工作区域。  TLS 1.3规范: 贡献 在提交反馈之前,请熟悉我们当前的问题列表并查看。 如果您是新手,则可能还需要阅读的 。  请注意,对规范的所有贡献均归入以下概述的“ ...

			
		

	





	

		

			

				
					
picotls:TLS 1.3在C中的实现(主机支持RFC8446以及draft-26,-27,-28)

				
			

			

				

					04-29
				

			

		

		

			
				
 该项目的主要目标是创建一个快速,小巧,低延迟的TLS 1.3实现,该实现可与HTTP / 2协议堆栈以及即将推出的QUIC堆栈一起。  picotlsTLS协议实现已获得MIT许可。  加密绑定支持的许可证和加密算法如下:  捆绑 执照...

			
		

	





	

		

			

				
					
nginx-1.16.1-TLS1.3-http2

				
			

			

				

					01-05
				

			

		

		

			
				
`nginx-1.16.1-TLS1.3-http2` 是一个特别构建的 Nginx 版本,集成了最新的 TLS 1.3 安全协议和 HTTP/2 协议,旨在为用户提供更高效、更安全的 HTTPS 访问体验。  **Nginx:高性能Web服务器与反向代理**  Nginx 是一...

			
		

	





	

		

			

				
					
fizz:TLS-1.3标准的C ++ 14实现

				
			

			

				

					02-15
				

			

		

		

			
				
 fizz/record :TLS 1.3记录层解析 fizz/protocol :客户端和服务器之间共享的通用协议代码 fizz/client :客户端协议实现 fizz/server :服务器协议实现 fizz/tool :示例CLI应用程序源 设计 核心协议实现在...

			
		

	





	

		

			

				
					
@RequestParam和@PathVariable 处理 HTTP 请求参数的注解

				
			

			

				

					xiexf20230814的博客
				

				

					07-24
					
					600
					
				

			

		

		

			
				
解析前端get请求路径后以问号拼接的参数,查询参数是 URL 后面的问号 (// 在这里,name 和 age 将从 URL 的查询参数中获取。将 URL 路径中的变量绑定到控制器方法的参数上。可以设置参数是否是必需的(使用。) 后跟的一系列键值对,

			
		

	





	

		

			

				
					
http了为何还要用socket通讯

				
			

			

				

					全栈开发的博客
				

				

					07-24
					
					955
					
				

			

		

		

			
				
因此,‌虽然HTTP已经足够处理简单的信息获取任务,‌但在需要双向通信、‌实时数据交换、‌服务器主动推送消息等场景下,‌WebSocket提供了更优的解决方案。‌例如,‌在线聊天应用、‌实时股票价格更新、‌多人在线游戏等,‌这些应用都需要WebSocket来实现实时、‌双向、‌安全的数据交换12。‌总的来说,‌虽然HTTP和WebSocket都是基于TCP协议的,‌但它们各自的优势和适用场景不同。‌HTTP适合简单的信息获取任务,‌而WebSocket则更适合需要实时、‌双向通信的复杂应用场景。

			
		

	





	

		

			

				
					
网安科班精选!爱荷华大学教授的网络安全零基础入门教程!

					
最新发布

				
			

			

				

					互联网架构小马的博客
				

				

					07-31
					
					176
					
				

			

		

		

			
				
网络就像一把双刃剑,给我们的生活、交流、工作和发展带来了便利,但同时也给信息安全以及个人隐私带来了威胁。网络和信息安全问题不仅影响了网络的普及和应用,还关系到企国家、军队、企业的信息安全和社会的经济安全,让人又爱又恨。今天给大家分享的这份手册,主要从网络漏洞、协议和安全解决方案等方面来探讨网络安全问题。我们把网络看成是不安全和安全的源头,通过分析网络漏洞、探测、攻击和减少攻击的方法,来研究不同的网络协议

			
		

	





	

		

			

				
					
Linux网络工具“瑞士军刀“集合

				
			

			

				

					分享不一样的技术,与你一起共同成长!
				

				

					07-26
					
					389
					
				

			

		

		

			
				
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
程序员zhi路

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值