TLS 1.3 state of art
RFC 8446 · 2018 · переработка с нуля
Что это
Полная переработка TLS. Не патч 1.2 — а заново придуманный дизайн. Разрабатывали 5 лет, 28 драфтов. Итог — RFC 8446 (август 2018).
Ключевые изменения
- 1 RTT handshake (0-RTT при повторе). Ключевой обмен идёт параллельно с ClientHello.
- Только AEAD-ciphers — TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_CCM_SHA256, TLS_AES_128_CCM_8_SHA256. Итого 5 cipher suites вместо 300+.
- Forward secrecy обязательна — только (EC)DHE, никакого RSA key exchange.
- Шифрованный handshake — всё после ServerHello уже под ключом. Цепочка сертификатов не видна пассивному наблюдателю.
- Убраны: RSA KX, DHE-без-forward-secrecy, статичные группы, compression (CRIME), renegotiation, MD5, SHA-1, RC4, DSA, 3DES, CBC-режимы.
- HKDF для key schedule (вместо кастомного PRF).
- Signed transcript — сервер подписывает весь handshake, не только random'ы.
Handshake
Client → ClientHello + key_share (ephemeral pubkey)
Server → ServerHello + key_share + {EncryptedExtensions,
Certificate, CertVerify, Finished}
─── всё после ServerHello ужé зашифровано ───
Client → {Finished}
Client → application data
─── 1 RTT до первого байта ───
0-RTT resume
При повторном коннекте клиент может послать application data сразу с первым пакетом, используя PSK от прошлой сессии. 0 RTT, мгновенно. Trade-off: 0-RTT не даёт replay-защиты, поэтому только для идемпотентных запросов (GET).
Что даёт в реале
- Быстрее. На соединении с 100ms RTT — открытие сайта на 100-200ms шустрее.
- Приватнее. Сертификат сервера скрыт от посредников.
- Проще. Меньше вариантов настройки → меньше шансов ошибиться.
- Безопаснее. Ни один известный класс атак на 1.2 не работает на 1.3.
Поддержка
- Chrome, Firefox, Safari, Edge — с 2018-2019.
- OpenSSL 1.1.1+, BoringSSL, GnuTLS, wolfSSL — все умеют.
- Nginx 1.13.0+, HAProxy 1.8+, Apache 2.4.36+.
- По статистике Cloudflare — ~70% всего TLS-трафика уже 1.3.
Что дальше
Расширения к 1.3: ECH (шифрование SNI), Delegated Credentials, Encrypted Client Certificates. Пост-квантовые cipher suites (Kyber, ML-KEM) уже раскатывают.