1. 首页
2. 证书相关
3. NCC集团的加密服务已完成对Cloudflare TLS1.3的审计

NCC集团的加密服务已完成对Cloudflare TLS1.3的审计

发布日期：2017-03-20

NCC集团的服务近期完成了对Cloudflare TLS1.3实施方案为期两周的审计。

TLS标准的最后一次更新已是十年前的事，而这次的新版本增添了不少新特性并优化了协议握手。不少老的加密算法都已经更新换代，密钥交换默认使用正向保密，握手阶段将更快，证书将能够享受安全验证的签名方案，MAC-then-Encrypt结构已推出——所有糟糕的老一代TLS版本都已被更新或移除。

加密服务分析了Cloudflare的TLS 1.3实施方案的协议级缺陷和偏离草案规范。 该团队在审查期间发现了少量问题 – 所有问题都得到及时修正，并对代码的质量感到满意。

Cloudflare在Go编程语言的标准TLS库上构建了TLS 1.3的实现，利用现有的基础来正确安全地解析TLS数据包。 虽然在旧版本的基础上构建颇具挑战，Cloudflare已经以安全和隔离的方式添加了TLS 1.3代码，在规范的最终实施中添加了针对降级攻击的新防御，以此支持旧版本的TLS，同时避免意外冲突或降级。

使用Go及其标准库可以使Cloudflare避免常见的实现问题，这些问题源于脆弱的strcpy和memcpy操作，指针算术和手动内存管理，同时提供最佳的加密API。

Cloudflare实现了TLS 1.3规范的保守子集。 最先进的算法，如Curve25519，优先于传统算法。 会话恢复仅限于前向安全选项。Cloudflare的实施还考虑到了效率，采用AES-GCM监测加速硬件支持以及Chacha20-Poly1305。

在TLS 1.3享有大规模采用之前，仍然有工作要做。 Cloudflare为其可靠的TLS 1.3服务器实现铺平了道路，而Firefox和Chrome的客户端实现使草案规范的端到端测试成为可能。 NCC集团赞赏IETF和这些早期实施者的工作。

 

 

 

上一篇：区块链技术被列入“十三五”规划

下一篇：Firefox用户加载的HTTPS网页数超过了50%

相关新闻

• SSL证书对网站访问速度有影响吗
• 个人隐私数据泄露有哪些危害？如何预防？
• 部署SSL证书有哪些常见的错误
• 国际证书、国产证书和国密证书
• 游戏开发为什么离不开代码签名？
• 僵尸网络攻击手法与防范方式
• SSL证书助力保障网络数据安全
• 网站加密与不加密区别
• SSL证书有哪些类型和价格差异
• ca机构颁发的证书包括那些内容呢？