Giao thức TLS là gì? Có gì mới trong giao thức TLS 1.3?

icon-cart
Giao thức TLS là gì? Có gì mới trong giao thức TLS 1.3?
TLS (Transport Layer Security) hay còn gọi là giao thức bảo mật tầng giao vận. Được phát hành lần đầu tiên vào năm 1999 được nâng cấp lên từ chứng chỉ SSL 3.0. TLS 1.0 đã phát triển thành TLS 1.1. Và sau đó, vào năm 2008, đã nâng cấp thành phiên bản TLS 1.2. TLS 1.2 đã thành công rực rỡ trong mười năm qua. Trong bối cảnh bảo mật web luôn thay đổi và các mối đe dọa mạng đang đòi hỏi giao thức TLS cần được cải thiện. Sau một thập kỷ tồn tại và phát triển với 28 bản nháp được thử nghiệm, vào tháng 8 năm 2018 chứng chỉ TLS 1.3 đã được phát hành. Trong bài viết này, chúng tôi – CER.vn sẽ đề cập đến đến những thay đổi mới trong giao thức TLS 1.3

TLS 1.3 loại bỏ các thuật toán và mật mã lỗi thời

Hai tính năng nổi trội mà TLS 1.3 vượt trội so với các phiên bản trước của nó là bảo mật và tốc độ. TLS 1.3 loại bỏ một số tính năng lỗi thời khỏi TLS 1.2. Dưới đây là 1 số mật mã (ciphers) và thuật toán (algorithms) được bỏ bớt trong TLS 1.3:

+RC4 Stream Cipher
+RSA Key Transport
+SHA-1 Hash Function
+CBC (Block) Mode Ciphers
+MD5 Algorithm
+Various Diffie-Hellman groups
+EXPORT-strength ciphers
+DES
+3DES

Một giao thức được đơn giản hóa sẽ dễ dàng thực hiện hơn, đồng thời có ít cơ hội hơn khi hacker muốn lạm dụng và tấn công.

TLS 1.3 nhanh hơn TLS 1.2

TLS 1.3 giới thiệu cơ chế handshake hoàn toàn mới giúp giảm thời gian mã hóa một kết nối. Trước đây, TLS 1.2 yêu cầu hai round-trips (hành trình) để hoàn thành TLS handshake, nhưng bây giờ, phiên bản 1.3 chỉ cần một round-trip. Điều này đã làm giảm độ trễ mã hóa xuống một nửa so với TLS 1.2. Mặc dù sự khác biệt được tính bằng mm giây, nhưng nó tăng lên theo tỷ lệ và giúp cho các công ty cải thiện hiệu suất mạng.

Một tính năng mới giúp giảm thời gian mã hóa nữa là O-RTT. Khi người dùng truy cập trang web của bạn trong một thời gian ngắn, O-RTT làm cho kết nối của bạn gần như ngay lập tức được thiết lập.
image (12).png


Trình duyệt hỗ trợ TLS 1.3

Tại thời điểm viết bài viết này, Chorme (67+), Firefox (61+), Opera (57+), Edge (76) và Safari (12.3), tất cả đều hỗ trợ bản phát hành TLS mới nhất. Chrome và Firefox là hai trình duyệt đầu tiên triển khai hỗ trợ cho TLS 1.3.

Cách để bật TLS 1.3 trên máy chủ

Các phần mềm máy chủ phổ biến như Apache, Nginx, cũng như một số CDN, bao gồm Cloudflare đã hỗ trợ giao thức TLS 1.3 mới. Việc cập nhật lên phiên bản TLS 1.3 mới tương đối dễ dàng

Trước tiên, bạn cần cập nhật thư viện SSL / TLS của mình lên một trong các phiên bản sau:

+OpenSSL 1.1.1
+GnuTLS 3.5.x
+Facebook Fizz (hiện tại)
+SSL Bored SSL (hiện tại)

Khi bạn đã cập nhật thư viện của mình, hãy chọn máy chủ của bạn và làm theo các bước dưới đây:

Kích hoạt TLS 1.3 trên Apache

TLS 1.3 có sẵn bắt đầu từ Apache HTTP 2.4,38.

1. Login vào Apache server của bạn
2. Backup sau đó mở tệp cấu hình SSL, theo mặc định là ssl.conf
3. Xác định vị trí dòng SSLProtocol
4. Thêm + TLS 1.3 ở cuối dòng SSL Protocol
5. Đoạn mã cuối cùng của bạn sẽ giống như thế này:
SSLProtocol -all + TLSv1.2 + TLSv1.3
6. Lưu và khởi động lại Apache HTTP

Kích hoạt TLS 1.3 trên Nginx

TLS 1.3 có sẵn bắt đầu từ Nginx 1.13.

1. Login vào Nginx server của bạn
2. Backup sau đó mở tệp nginx.conf
3. Thay đổi nginx.conf sử dụng vi hoặc trình soạn thảo yêu thích của bạn
4. Xác định vị trí dòng ssl_protocol
5. Thêm TLSv1.3 ở cuối dòng
6. Đoạn mã cuối cùng của bạn sẽ có dạng: ssl_protocol TLSv1.2 TLSv1.3;
7. Lưu và khởi động lại Nginx

Sẽ mất một thời gian để TLS 1.3 được sử dụng một cách rộng rãi và bạn có thể góp phần tăng tốc quá trình bằng cách bật nó trên trang web và hệ thống của bạn. Những lợi ích mà nó đem lại là mã hóa nhanh hơn, nhẹ hơn, nhưng quan trọng nhất là an toàn hơn cho doanh nghiệp và khách hàng của bạn.

Mọi thông tin chi tiết và cần hỗ trợ tư vấn về Chứng chỉ SSL bạn có thể liên hệ:
CÔNG TY CỔ PHẦN TẬP ĐOÀN HVN
Địa chỉ: Lô TT02-15, KĐT Mon City, Nam Từ Liêm, Hà Nội
Điện thoại: 024.6688.6666 - Hotline: 024.9999.6669
Kinh doanh: 0828.999.666 - 0843.999.666 - 0822.999.666
Kỹ thuật: 0777.247.777 - 0776.247.777 - 0705.247.777
Email: kinhdoanh@cer.vn – kythuat@cer.vn
Website:www.hvn.vn – www.cer.vn
Top