SSL和TLS-TLS 1.3

TLS 1.3协议通过优化消息流,实现了仅需三次交互的快速握手,减少了RTTs,结合OCSP stapling可迅速建立安全连接。协议不再支持静态key交换、压缩和non-AEAD加密,增强了安全性。证书管理和Alert Messages也有所调整,如移除decompression_failure警报,只支持临时key交换和AEAD加密。
摘要由CSDN通过智能技术生成

TLS 1.3(版本号3,4)变化很大,比如新的消息流和更强大的加密。

一个典型的SSL/TLS握手需要最少两个RTTs,如果要验证证书,需要更多次(下载和检查CRLs,或者调用OSCP)。2010年,Google介绍和发布了False Start技术,它的思想是客户端发送它的Finished消息之后,立刻开始发送应用数据(不等服务器发送Finished消息),这样节省了一个RTT。但是,该技术碰到了困难,没进入TLS标准。
开始设计TLS 1.3的时候,他们记得TLS False Start,想采用类似的技术减少握手需要的RTTs数。于是,设计了新的消息流。
The TLS 1.3 message flow (overview)

TLS 1.3只要三次flights就可以建立一个TLS连接。跟TCP连接的建立类似,也需要交换三次消息。
如果和OCSP stapling相结合,可以很快地建立一个安全的连接。第一个flight,客户端发送ClientHello消息以后,立刻发送ClientKeyShare消息。ClientKeyShare消息(type 18)代替了ClientKeyExchange。TLS 1.3不再支持静态key交换,所以每个key交换必须是暂时的。ClientKeyShare消息包含一组参数,客户端支持的0个或者多个key交换方法。如果参数不被接受,或者服务器不支持,服务器就返回HelloRetryRequest消息,客户端就用另一个

  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值