Sono passati più di otto anni dall’ultimo aggiornamento del protocollo di crittografia, e finalmente la versione finale di TLS 1.3 è stata pubblicata ad agosto 2018. 👏 La cosa interessante per la community di WordPress e per i clienti di Kinsta è che TLS 1.3 apporta molti miglioramenti in termini di sicurezza e prestazioni. Con l’aggiornamento del protocollo HTTP/2 alla fine del 2015, e ora con TLS 1.3 a partire dal 2018, le connessioni crittografate sono più sicure e veloci che mai. Di seguito riportiamo quello che c’è da sapere sulle modifiche intervenute con TLS 1.3 e come può esservi utile come proprietari di un sito WordPress.
Che Cos'è TLS?
TLS è l’acronimo di Transport Layer Security ed è il successore di SSL (Secure Sockets Layer). TLS permette comunicazioni sicure tra browser e server. La connessione stessa è sicura perché viene utilizzata la crittografia simmetrica per crittografare i dati trasmessi. Le chiavi vengono generate in modo univoco per ogni connessione e si basano su un segreto condiviso negoziato all’inizio della sessione, noto anche come TLS handshake.
Molti protocolli basati su IP, come HTTPS, SMTP, POP3, FTP supportano TLS per la crittografia dei dati.
I browser web utilizzano un certificato SSL che consente loro di riconoscere che appartiene a un’autorità di certificazione con firma digitale. Tecnicamente questi sono anche noti come certificati TLS, ma la maggior parte dei provider SSL si attengono al termine “certificati SSL” in quanto è generalmente più noto. I certificati SSL/TLS fanno la magia che c’è dietro a ciò che molte persone conoscono semplicemente come quell’HTTPS che vedono nella barra degli indirizzi del loro browser.
- TLS 1.3 vs TLS 1.2
- Guadagni di Velocità di TLS 1.3
- Sicurezza Superiore con TLS 1.3
- Supporto TLS 1.3 dei Browser
- Supporto TLS 1.3 dei Server
- Supporto TLS 1.3 di Kinsta
TLS 1.3 vs TLS 1.2
L’Internet Engineering Task Force (IETF) è il gruppo incaricato di definire il protocollo TLS, che ha subito diversi aggiornamenti. La versione precedente di TLS, TLS 1.2, era stata definita con la RFC 5246 ed è stata utilizzata negli ultimi otto anni dalla maggior parte dei browser. Il 21 marzo 2018, TLS 1.3 è giunto alla conclusione, dopo esser passato attraverso 28 draft. E, da agosto 2018, la versione finale di TLS 1.3 è finalmente pubblica (RFC 8446).
Aziende come Cloudflare stanno già mettendo TLS 1.3 a disposizione dei loro clienti. Filippo Valsorda ha tenuto un ottimo discorso (vedi presentazione qui sotto) sulle differenze tra TLS 1.2 e TLS 1.3. In breve, i principali vantaggi di TLS 1.3 rispetto a TLS 1.2 sono velocità più elevate e maggiore sicurezza.
Guadagni di Velocità di TLS 1.3
TLS e le connessioni crittografate hanno sempre aggiunto un leggero sovraccarico sulle prestazioni web. HTTP/2 ha sicuramente aiutato a ridurre questo problema, ma TLS 1.3 contribuisce ad accelerare ancora di più le connessioni crittografate con funzionalità come TLS false start e Zero Round Trip Time (0-RTT).
Per dirla con parole semplici, con TLS 1.2 sono stati necessari due round trip per completare l’handshake del TLS. Nella versione 1.3 richiede solo un round-trip, cosa che a sua volta dimezza la latenza della crittografia. Questo aiuta a rendere le connessioni crittografate un po’ più scattanti di prima.
Un altro vantaggio è che in un certo senso, ricorda! Sui siti visitati in precedenza, è ora possibile inviare dati al server al primo messaggio. Questo è chiamato “zero round trip”. (0-RTT). E sì, ciò comporta anche tempi di caricamento più rapidi.
TLS 1.3 is much faster than 1.2…. RUM data (30days) showing median TLS handshake times #webperf #isTLSFastYet pic.twitter.com/Mc4RHwg8Vt
— Tim Vereecke (@TimVereecke) May 16, 2019
Sicurezza Superiore con TLS 1.3
Un grosso problema con TLS 1.2 è che spesso non è configurato correttamente, lasciando i siti Web vulnerabili agli attacchi. TLS 1.3 ora rimuove le funzionalità obsolete e non sicure da TLS 1.2, tra cui:
- SHA-1
- RC4
- DES
- 3DES
- AES-CBC
- MD5
- Arbitrary Diffie-Hellman groups — CVE-2016-0701
- EXPORT-strength ciphers – Responsible for FREAK and LogJam
Dato che il protocollo è in un certo senso semplificato, ciò rende meno probabile che amministratori e sviluppatori commettano degli errori nella configurazione del protocollo. Jessie Victors, consulente di sicurezza, specializzata in sistemi di miglioramento della privacy e crittografia applicata ha dichiarato:
Sono entusiasta dell’introduzione del prossimo standard. Penso che vedremo molte meno vulnerabilità e potremo fidarci di TLS molto più di quanto abbiamo fatto in passato.
Anche Google sta alzando il tiro, dato che ha iniziato a avvertire gli utenti nella console di ricerca che stanno passando a TLS versione 1.2, dato che TLS 1 non è più così sicuro. Stanno dando una scadenza a marzo 2018.
Supporto TLS 1.3 dei Browser
Chrome ha fornito una versione draft di TLS 1.3 a partire da Chrome 65. In Chrome 70 (rilasciato a ottobre 2018), è stata abilitata la versione finale di TLS 1.3 per le connessioni in uscita.
Una versione draft di TLS 1.3 è stata abilitata in Firefox 52 e versioni successive (incluso Quantum). Hanno mantenuto un fallback su TLS 1.2 fino a quando non hanno avuto maggiori informazioni sulla tolleranza del server e sull’handshake della versione 1.3. Firefox 63 (rilasciato a ottobre 2018) è stato distribuito con la versione finale di TLS 1.3.
Microsoft Edge ha iniziato a supportare TLS 1.3 con la versione 76, e questo è abilitato di default in Safari 12.1 su macOS 10.14.4.
Detto questo, alcuni servizi di test di SSL su Internet non supportano ancora TLS 1.3 e nemmeno altri browser come IE o Opera mobile.
Potrebbe essere necessario un po’ di tempo prima che il resto dei browser riesca a recuperare. La maggior parte dei restanti browser al momento sono in fase di sviluppo. Cloudflare ha pubblicato un eccellente articolo sul perché TLS 1.3 non è ancora nei browser.
Tuttavia, a partire dall’11 settembre 2018, TLS 1.3 ha superato TLS 1.0 come seconda versione più utilizzata su Cloudflare.
Guess what happened today? TLS 1.3 surpassed TLS 1.0 as the second-most common version of TLS seen by Cloudflare. #tls13 pic.twitter.com/ASzgNaUIy0
— Nick Sullivan (@grittygrease) September 11, 2018
Supporto TLS 1.3 dei Server
Se siete curiosi di sapere se il vostro server o il vostro host supportano o meno TLS 1.3, potete utilizzare lo strumento SSL Server Test. Basta effettuare la scansione del vostro dominio e scorrere fino alla sezione “Protocol Features”. Dirà sì o no.
Supporto TLS 1.3 di Kinsta
Il nostro partner CDN, KeyCDN, ha lanciato TLS 1.3 con supporto 0-RTT il 27 settembre 2018. Questo ha aggiunto il supporto riferito a tutti i media e a tutte le risorse servite tramite il CDN di Kinsta.
Ad agosto 2019, abbiamo aggiunto il supporto TLS 1.3 a tutti i nostri server. 🔒 Ora potete sfruttare appieno le prestazioni web e i vantaggi di sicurezza di TLS 1.3.
Riepilogo
Proprio come HTTP/2, TLS 1.3 è un altro grande aggiornamento del protocollo di cui possiamo aspettarci di beneficiare per gli anni a venire. Non solo le connessioni crittografate (HTTPS) diventeranno più veloci, ma saranno anche più sicure. Ecco come il web va avanti!
Lascia un commento