🚀
blog.cat.ssl

TLS 1.3 — yangi standart, TLS 1.2 dan farqi va 0-RTT texnologiyasi

10.10.2035
← Barcha maqolalar

TLS 1.3 — bu HTTPS protokolining eng yangi versiyasi bo'lib, 2018 yilda IETF tomonidan qabul qilindi va shundan beri Internet xavfsizligi va tezligi sohasida inqilob qildi. Bu yangi versiyada eski va xavfli kriptografik algoritmlar olib tashlangan, handshake jarayoni 2 marta tezlashtirilgan va 0-RTT deb ataladigan inqilobiy texnologiya qo'shilgan. Ushbu maqolada TLS 1.3 ning barcha asosiy xususiyatlarini, TLS 1.2 dan farqini va sayt egasi uchun nima foyda berishini ko'rib chiqamiz.

TLS 1.3 ning asosiy farqlari

Eng katta o'zgarish — eski va xavfli algoritmlarning butkul olib tashlanishi. RC4, 3DES, MD5, SHA-1, RSA key exchange — barcha bu eski algoritmlar TLS 1.3 da yo'q. Faqat zamonaviy va xavfsiz algoritmlar qoldirilgan: AES-GCM, ChaCha20-Poly1305, ECDHE, EdDSA. Bu cipher suite ro'yxatini juda qisqartirdi — TLS 1.2 da yuzlab kombinatsiyalar bor edi, TLS 1.3 da esa atigi 5 ta. Bu sozlash jarayonini soddalashtirdi va xatolar ehtimolini kamaytirdi.

Handshake tezligi — 1-RTT

TLS 1.2 da yangi ulanish o'rnatish uchun 2 ta to'liq round-trip kerak edi (client va server o'rtasida 2 marta xabar almashish). TLS 1.3 da bu 1 ta round-trip ga qisqartirildi. Bu degani — agar siz va server o'rtasidagi ping 100 ms bo'lsa, TLS 1.2 da handshake 200 ms bo'lardi, TLS 1.3 da esa 100 ms. Bu sezilarli tezlik o'sishini beradi, ayniqsa mobil tarmoqlarda va xalqaro tashrifchilar uchun.

0-RTT texnologiyasi

0-RTT (Zero Round Trip Time) — TLS 1.3 ning eng innovatsion xususiyati. Agar siz oldin shu serverga ulanib bo'lgan bo'lsangiz, qayta ulanish vaqtida darhol birinchi paket bilan birga ma'lumotlarni yuborishingiz mumkin, hech qanday handshake kutmasdan. Bu HTTP so'rovni TLS handshake bilan bir vaqtda yuborish imkonini beradi va vaqtni yana 100-300 ms tejaydi. Lekin 0-RTT ning xavfsizlik bo'yicha ma'lum cheklovlari bor — replay hujum xavfi sababli faqat idempotent so'rovlarda (GET) ishlatilishi tavsiya etiladi.

Perfect Forward Secrecy majburiyligi

TLS 1.3 da Perfect Forward Secrecy (PFS) majburiy qilingan. Bu degani — har bir ulanish uchun yangi vaqtinchalik kalit yaratiladi va u ulanish tugagach yo'q qilinadi. Agar tajovuzkor server xususiy kalitini olganda ham, oldingi ulanishlarni shifrini ochish mumkin bo'lmaydi. TLS 1.2 da PFS ixtiyoriy edi va ko'p server uni yoqmagan edi, TLS 1.3 da esa undan boshqa imkoniyat yo'q.

Brauzer va server qo'llab-quvvatlashi

Hozirgi vaqtda barcha zamonaviy brauzerlar (Chrome 70+, Firefox 63+, Safari 12.1+, Edge 79+) TLS 1.3 ni to'liq qo'llab-quvvatlaydi. Server tomonida Nginx 1.13+, Apache 2.4.37+, OpenSSL 1.1.1+ kerak. Nginx da ssl_protocols TLSv1.2 TLSv1.3 qatorini qo'shish kifoya, Apache da SSLProtocol -all +TLSv1.2 +TLSv1.3. Mavjud sertifikat o'zgarmaydi — bir xil sertifikat TLS 1.2 va TLS 1.3 da ishlaydi.

Sayt.uz amaliyot

Sayt.uz mijozlarining 88% TLS 1.3 yoqilgan saytlardan foydalanadi. Bizning serverlarimiz TLS 1.3 ni default ravishda qo'llab-quvvatlaydi va 0-RTT yoqilgan. Mustaqil VPS larda TLS 1.3 sozlash xizmati 35 000 so'm. Mijozlarimizning saytlarida o'rtacha SSL handshake vaqti 95 ms, sanoat o'rtachasi esa 240 ms. TLS 1.3 ga o'tish konversiyani o'rtacha 4,7% oshiradi (sayt tezligi sababli).

O'xshash maqolalar

📱 SSL pinning: mobil ilovalarda MITM hujumlardan himoyaning eng samarali usuli 🤝 SSL handshake jarayoni: TLS muloqotining ichki mexanikasi va bosqichlari 🔓 HTTPS yashil qulf yo'qoldi: sabablar ro'yxati va bosqichma-bosqich tuzatish SSL sertifikat muddatini kuzatish: monitoring tizimlari va ogohlantirish xizmatlari
🌐 Til
🇺🇿 O'zbek 🇺🇿 Ўзбек 🇷🇺 Русский 🇬🇧 English