CloudFlare正在为加密的互联网充电加密的互联网即将变得更加快捷。说到浏览，我们已经开着90年代的破车到处逛了一段时间。谁也不知道，我们都准备用旅行车换一辆冒烟的新跑车。这种速度提升的原因是TLS1.3，这是一种新的加密协议，它提高了各地互联网用户的速度和安全性。截至目前，TLS 1.3可供所有CloudFlare客户使用。加密的互联网在"http地址"栏中用"http地址"代替了"你的访问"图标。"s"代表安全。当你连接到一个HTTPS站点时，你和网站之间的通信是加密的，这使得浏览网页的安全性大大提高，保护你的通信免受窥探和恶意代码的注入。HTTPS不仅被网站使用，它还保护了大多数API和移动应用程序后端。在因特网上实现安全通信的底层技术是一种称为传输层安全（TLS）的协议。TLS是Netscape在20世纪90年代开发的安全套接字层（SSL）协议的一个演进，标准机构Internet工程任务组（IETF）负责定义该协议，该协议经过了多次迭代。上一个版本tls1.2在2008年被标准化，目前大多数浏览器和支持HTTPS的web服务都支持它。TLS1.2在正确配置时是安全的，但它的时代已经开始显现。在过去的几年里，一些引人注目的攻击已经被公布，揭露了协议的缺陷。八年对于计算机安全来说是一段很长的时间，因此IETF一直在研究新版本的协议，tls1.3，该版本应该在2016年底完成。TLS 1.3是一次大修，与以前的版本相比有两个主要优势：增强的安全性提高速度增强的安全性过去几年对TLS的大多数攻击都是针对90年代遗留下来的协议残余部分，TLS1.2是高度可配置的，易受攻击的站点只是未能禁用旧的功能，希望与旧浏览器兼容。tls1.3采用了"少即是多"的理念，消除了对旧的密码体制的支持。这意味着你不能打开那些潜在的易受攻击的东西，即使你尝试过。tls1.2被删除的特性列表非常广泛，大部分被流放的特性都与高调攻击有关。其中包括：RSA密钥传输-不提供前向保密CBC模式密码-负责BEAST和Lucky 13RC4流密码-在HTTPS中使用不安全SHA-1哈希函数-不推荐使用SHA-2任意Diffie-Hellman集团-CVE-2016-0701出口密码-导致异常和堵塞CC 2.0通用Aqua机械tls1.3消除了这些遗留特性的"糟糕的加密气味"，使得对该协议以前版本的攻击影响tls1.3的可能性更小。这种简化还使tls1.3更容易为服务器操作员配置。更新的另一个副作用是，协议可以更快地生成，从而获得更好的web浏览体验。提高速度快速的页面加载时间对于web服务的成功至关重要。亚马逊有一个著名的发现，页面加载时间每增加100毫秒，销售额就会下降1%。页面加载时间的一个主要组成部分是延迟：在浏览器和web服务器之间发送数据所需的时间。延迟的影响在以下方面尤为明显：a） 移动设备上的用户b） 地理位置远离服务器的用户一条从悉尼到纽约的信息可以持续200多毫秒，足以让人类注意到。移动浏览还可以增加连接的延迟。通过现代4G移动网络发送消息通常会给请求增加超过100ms的延迟。在欧洲仍然很普遍的3G网络上，增加了超过200ms的额外延迟。即使是家庭WiFi连接和ISP也会使请求增加几十毫秒。这种额外的延迟会让移动浏览感觉很慢。不幸的是，加密会使这些缓慢的连接看起来更慢。TLS1.3有助于改善这种情况。要将消息发送到加密站点，必须首先建立共享加密密钥。这个过程称为加密握手。它需要在浏览器和网站之间来回发送特殊消息。每当您使用浏览器连接到加密站点时，TLS握手都会在幕后进行。对于TLS1.2，在发送请求之前，需要两次往返来完成握手。通过移动网络访问站点可以增加半秒以上的加载时间。在TLS1.3中，最初的握手被削减了一半，只需要往返一次。这就像从一辆快速旅行车（10秒内0-60英里/小时）到特斯拉s型车（5秒）。如果一个连接的往返时间大约为100ms，tls1.3的速度提升足以让那些看起来"迟钝"（超过300ms）的站点变成加载速度很快（小于300ms）的站点。更有效的握手是可能的，因为tls1.2中的一些遗留特性已经从协议中删除了。tls1.3还有一个额外的优势，即对于您最近访问过的站点，您可以在第一条消息上向服务器发送数据。这被称为"零往返"模式（0-RTT），将导致更快的加载时间。CloudFlare计划在未来几周内支持tls1.30-RTT。为所有人而活tls1.3是web安全和性能的巨大进步。它对所有CloudFlare客户都可用，并且默认情况下为所有免费和专业客户启用。您可以在CloudFlare仪表板的Crypto选项卡中找到启用/禁用TLS1.3的开关。TLS1.3规范仍在完善中，但IETF已经非常接近于确定协议的最终版本。主要的浏览器供应商Firefox和Chrome已经在他们的开发版本（Firefox Nightly和Chrome Canary）中实现了tls1.3的初步版本，我们正在更新我们的实现以匹配这些浏览器中的当前版本，直到规范最终确定。在接下来的几个月里，随着更多的浏览器默认启用tls1.3，我们期待着更快、更安全的web浏览体验。如何在浏览器中启用TLS 1.3Firefox每晚每晚安装并运行Firefox：https://nightly.mozilla.org/输入"关于：配置"在地址栏中设置security.tls.版本.最大值从3到4重新启动浏览器铬金丝雀安装并运行Chrome Canary：https://www.google.com/chrome/browser/canary.html输入"chrome://标志/"在地址栏中转到"已启用最大TLS版本"，然后选择"TLS 1.3"重新启动浏览器