網路嗅探的噩夢來了，新版安全傳輸層協議1.3（TLS 1.3）透過

歷經4年商定，修改了28次，終於在國際網際網路工程任務組（IETF）會議上透過最新的TLS 1。3協議。這將預示著TLS 1。3協議很快就會在各大網際網路公司的產品中出現，從甲骨文的JAVA開發套件到谷歌的Chrome瀏覽器都會支援新協議。

新的TLS 1。3協議修復了舊協議中易被NSA或其他網路竊聽組織破解HTTPS加密連線的漏洞，同時還可以加速安全連線的通訊速度。然而新的TLS協議也有缺陷，去年的這個時候，谷歌就在Chrome瀏覽器中暫停支援新的TLS 1。3協議，原因是馬里蘭州的一所IT學校閘道器發現學校里約有16000臺左右的Chromebook筆記本升級後變磚。銀行和商業公司也抱怨，儘管新的協議安全性得到了提升，但是還需要匹配原有的網路架構，因此還需要勞心勞力的對新的協議進行分析和檢驗，整個切換過程中也存在著巨大的安全隱患，既然網路內的其他電腦可以解密通訊，那也就意味第三方也可以透過其它方式解密通訊連線。一些別有用心的網路工程師還是可以在協議中注入後門程式，使用網路中介軟體監控分析網路流量，幸好後門植入的建議最後被否決。

新的TLS 1。3協議中最受關注的有2點：正向保密和臨時金鑰。由於為了保密需要，因此TLS 1。2協議，整個通訊連線過程需要長達0。5秒：

1、客戶端向伺服器發出連線請求。

2、伺服器發回一個連線金鑰。

3、客戶端使用該金鑰與伺服器進行加密通訊連線。

4、兩者在通訊過程中，建立2個新的金鑰：主金鑰和會話金鑰。主金鑰非常強健，不易被破解，而會話金鑰剛好相反。

5、客戶端需要決定選擇哪種加密系統對弱會話金鑰進行加密，這樣資料傳輸可以更快。

6、伺服器接收到客戶端的資訊後，兩者開始使用既定的加密系統進行資料傳輸。

新的TLS 1。3將其中的幾個步驟整合起來，起到了加速的作用：

1、客戶端向伺服器發出連線請求。

2、伺服器迴應請求併發送金鑰。

3、客戶端和伺服器連線後傳送會話金鑰。

因此使用TLS 1。3協議連線比原有的TLS 1。2協議連線又快又安全，摒棄了舊協議中的出現漏洞的老舊加密演算法，特別是駭客能夠從加密演算法中找到規律，恢復之前連線所使用的金鑰，進而恢復會話內容，這種漏洞被稱為非正向保密。

現在至少在一段時間內，使用TLS 1。3協議進行加密連線很難被駭客找到漏洞進行破解，另一個TLS 1。3協議廣受關注的特點是“0-RTT Resumption”，之前只要客戶端和伺服器連線過，就會儲存連線歷史資訊，當第二次連線時直接呼叫這些信用就可以通訊，而不需要再次驗證。這樣做雖然可以使資料通訊速度更快，但是一旦被駭客獲取就不需要驗證，可以暢通無阻的獲取加密傳輸的資料。

總的來說，TLS 1。3協議是一個雙贏的協議，還需要在實際應用過程中進一步最佳化。最受打擊的是網路犯罪和一些網路安全公司提供的安全連線服務，他們會努力尋找TLS 1。3協議中的漏洞，才能從中獲利，不過到那時，TLS 1。4協議也將會出現了。

歡迎關注我們：

@W-Pwn