Het is al meer dan acht jaar geleden sinds de laatste update van dit versleutelingsprotocol, maar de uiteindelijke versie van TLS 1.3 werd uiteindelijk in augustus 2018 gepubliceerd. 👏 Het leuke hieraan voor de WordPress community in het algemeen en klanten van Kinsta in het bijzonder, is dat TLS 1.3 allerlei verbeteringen qua beveiliging en prestaties bevat. Met de HTTP/2 protocol update in eind 2015 en TLS 1.3 in 2018, zijn versleutelde verbindingen veel veiliger én sneller geworden. Lees meer over de veranderingen in TLS 1.3 en hoe je hier als beheerder van een WordPress website van kunt profiteren.

Veel protocollen die op IP zijn gebaseerd, zoals HTTPS, SMTP, POP3 en FTP ondersteunen TLS voor de versleuteling van data.

Webbrowsers gebruiken een SSL certificaat waarmee ze kunnen zien dat ze met een digitaal ondertekend certificaat te maken hebben. Deze staan technisch bekend als TLS certificaten, maar de meeste SSL providers noemen ze nog altijd “SSL certificaten”, omdat deze term meer algemeen bekend is.

SSL/TLS certificaten maken de magie mogelijk wat de meeste mensen alleen maar kennen als het stukje ‘HTTPS’ in de adresbalk van de browser.

TLS 1.3 vs TLS 1.2

Het Internet Engineering Task Force (IETF) is een groep die het TLS protocol heeft vastgesteld, een protocol dat inmiddels al allerlei veranderingen heeft ondergaan. De vorige versie van TLS, TLS 1.2, werd gedefinieerd in RFC 5246 en is de afgelopen 8 jaar gebruikt door de meerderheid van de webbrowsers. Op 21 maart 2018 werd TLS 1.3 afgerond, nadat er wel 28 conceptversies aan vooraf gingen. Sinds augustus 2018 is de uiteindelijke versie van TLS 1.3 gepubliceerd (RFC 8446).

Bedrijven zoals Cloudflare maken TLS 1.3 al beschikbaar voor hun klanten. Filippo Valsorda hield een mooie presentatie (zie hieronder) over de verschillen tussen TLS 1.2 en TLS 1.3. Kort gezegd zijn de belangrijkste voordelen van TLS 1.3 ten opzichte van TLS 1.2 de hogere snelheden en betere beveiliging.

Voordelen qua snelheid van TLS 1.3

TLS en versleutelde verbindingen veroorzaken altijd een kleine vertraging als je kijkt naar de prestaties van websites. HTTP/2 hielp aanzienlijk bij dit probleem, maar ook TLS 1.3 maakt versleutelde verbindingen aanzienlijk sneller met features zoals TLS false start en Zero Round Trip Time (0-RTT).


Om het simpel te zeggen, waren er twee retourreizen nodig om de TLS handshake te doen onder TLS 1.2. Bij 1.3 is er nog maar één retour nodig, waardoor de latentie door versleuteling halveert. Dit zorgt ervoor dat versleutelde verbindingen al meteen wat directer voelen.

TLS 1.3 handshake prestaties
TLS 1.3 handshake prestaties

Een ander voordeel is dat het op een bepaalde manier een geheugen heeft. Op websites waar je eerder bent geweest, kun je nu data meesturen op het eerste bericht naar de server. Dit heet een “Zero Round Trip Time”(0-RTT). En ja, ook dit levert zeker verminderde laadtijden op.

Verbeterde beveiliging door TLS 1.3

Een groot probleem met TLS 1.2 is dat het vaak niet goed is ingesteld, wat websites kwetsbaar maakt voor aanvallers. TLS 1.3 verwijdert overbodige en onveilige features van TLS 1.2, waaronder:

  • SHA-1
  • RC4
  • DES
  • 3DES
  • AES-CBC
  • MD5
  • Arbitrary Diffie-Hellman groups — CVE-2016-0701
  • EXPORT-strength ciphers – Responsible for FREAK and LogJam

Doordat de upgrade het protocol in zeker zin eenvoudiger maakt, wordt de kans dat developers en admins het verkeerd instellen lager. Jessie Victors, een beveiligingsconsultant die gespecialiseerd is in privacy-verbeterende systemen en toegepaste cryptografie, heeft bijvoorbeeld gezegd:

Ik ben erg enthousiast over de nieuwe standaard. Ik denk dat we veel minder kwetsbaarheden gaan zien en we TLS veel meer kunnen vertrouwen dan vroeger.

Google verhoogde ook hun eisen, aangezien ze gebruikers binnen de searchconsole waarschuwden dat ze naar TLS versie 1.2 moesten overstappen, omdat TLS 1 niet langer als veilig werd gezien. Daarbij gaven ze een deadline van maart 2018.

Ondersteuning van TLS 1.3 door browsers

Chrome had sinds Chrome 65 standaard een conceptversie van TLS 1.3 aan boord. In Chrome 70 (gepubliceerd in oktober 2018), werd de definitieve versie van TLS 1.3 mogelijk gemaakt voor uitgaande verbindingen.

Wat Firefox betreft bevatte Firefox 5.2 al een conceptversie van TLS 1.3 en ook latere versies ondersteunden dit (waaronder Quantum). Wat ze wel hadden, was een onveilige terugvaloptie naar TLS 1.2 totdat ze meer wisten over de 1.3 handshake en hoe de servers 1.3 tolereerden. Firefox 63 (uitgegeven in oktober 2018) bevatte de definitieve versie van TLS 1.3.

Microsoft Edge begon met het ondersteunen van TLS 1.3 vanaf versie 76, op Safari is het standaard ingeschakeld vanaf versie 12.1 op macOS 10.14.4.

Ondersteuning van TLS 1.3 door browsers
Ondersteuning van TLS 1.3 door browsers

Dat gezegd hebbende: er zijn SSL testdiensten op het internet die TLS 1.3 nog niet ondersteunen. Ook de browsers IE of Opera mobile doen dit (nog) niet.

Het kan nog even duren voor andere browsers zover zijn. De meeste worden nog ontwikkeld. Cloudflare schreef een bijzonder goed artikel over waarom TLS 1.3 nog niet in sommige browsers zit.

Sinds 11 september 2018 heeft TLS 1.3 al TLS 1.0 ingehaald qua gebruik binnen Cloudflare.

Ondersteuning van TLS 1.3 door servers

Als je benieuwd bent of je server of host TLS 1.3 ondersteunt, kun je de SSL Server Test tool gebruiken. Je scant eenvoudig je domein en scrolt naar beneden tot het stuk over “Protocol Features”. Daar staat dan yes (ja) of no (nee).

Ondersteuning van TLS 1.3 door servers
Ondersteuning van TLS 1.3 door servers

Ondersteuning van TLS 1.3 door Kinsta

Onze CDN partner, KeyCDN, lanceerde TLS 1.3 met 0-RTT ondersteuning op 27 september 2018. Sindsdien ondersteunt het Kinsta CDN het protocol voor alle media en assets.

In augustus 2019 voegden we TLS 1.3 ondersteuning toe voor al onze servers. 🔒Je kunt nu dus volledig gebruik maken van de voordelen qua snelheid en beveiliging van TLS 1.3.

Samenvatting

Net als bij HTTP/2 is TLS 1.3 weer een nieuwe gave protocolupdate waar we de komende jaren van kunnen profiteren. Versleutelde verbindingen (HTTPS) zullen niet alleen sneller worden, maar ook veiliger. Proost op de vooruitgang van het internet dus! Als je nog oudere TLS versies gebruikt, wil je wellicht de meldingen ERR_SSL_OBSOLETE_VERSION in Chrome oplossen.

Brian Jackson

Brian heeft een enorme passie voor WordPress, gebruikt het al meer dan tien jaar en heeft zelfs al aantal premium plugins ontwikkeld. Brian houdt van bloggen, films en hikes. Kom in contact met Brian op Twitter.