微软上周宣布,TLS 1.3将从Build 20170开始,在Windows 10 Insider预览版默认打开,而这表示未来将推向所有Windows 10版本。
TLS 1.3(Transport Layer Security,传输层安全性协议)于2018年公布,是最新版互联网传输加密协议,移除了不安全的加密算法,也比前版提高加密安全性,旨在尽可能加快加密用户端及服务器端的握手速度。
主要浏览器包括Chrome、Edge、Firefox和Safari已公布2020年起,终止支持TLS1.0及1.1。虽然受到新冠肺炎疫情影响,微软今年稍早延长支持期到2020年下半,不过最快7月就会切断支持,呼吁网站开发商升级到1.2版以上。
事实上,微软强烈建议App及服务开发商尽早开始测试TLS 1.3。微软指出,TLS 1.3使用3种密码组件,包括:TLS_AES_128_GCM_SHA256、TLS_AES_256_GCM_SHA384、TLS_CHACHA20_POLY1305_SHA256,全部都有PFS(perfect forward secrecy,完整转发密码)、AEAD(authenticated encryption with associated data)特性及现代划算法,可解决过去因为定义了太多密码组件,而导致的不兼容及安全性不稳定的问题。
此外它也尽可能降低发送的明码协议字符,以避免协议僵化(ossification)、提升隐私性,并隐藏发送的内容长度,减少信息暴露风险。此外,前几版的TLS中,用户端的身份很容易因用户端验证暴露,但TLS 1.3已经看不到用户端验证。
微软也计划从.NET 5.0开始支持TLS 1.3。
至于在浏览器方面,配合TLS 1.3的部署,IIS/HTTP.SYS也默认打开TLS1.3。即将在明年终止大部分支持的IE及旧版Edge,现在仍然可以在高端设置下打开支持。Chromium Edge下则可通过Edge://flags来激活。