The Internet Engineering Task Force (IETF) ซึ่งเป็นหน่วยงานที่พัฒนามาตรฐานโปรโตคอลสำหรับการทำงานของต่างๆบนระบบอินเตอร์เน็ต ได้อนุมัติให้ Encryption Protocol TLS 1.3 เป็น Protocol มาตรฐานในการใช้งานผ่านระบบ Internet แล้วและได้เริ่มใช้งานจริงเมื่อวันที่ 10 สิงหาคม 2561

TLS 1.3 ในปัจจุบัน จะมี 2 Browsers ที่รองรับการใช้งานคือ Google Chrome ตั้งแต่เวอร์ชั่น 63 และ Mozilla Firefox ตั้งแต่เวอร์ชั่น 63 และในอนาคตทุก Browsers จะต้องพัฒนาให้รองรับการใช้งาน TLS 1.3 ให้ได้

 

HISTORY & BACKGROUND

 

When Who What Comments
1994 Netscape SSL 1.0 designed. Never published as security flaws
were found internally.
1995 Netscape SSL v2.0 published. Netscape develops SSL v2, an encryption protocol designed to support the Web as a hot new commerce platform. This first secure protocol version shipped in Netscape Navigator 1.1 in March 1995.
1996 Netscape SSL v3.0 published. SSL v2 is shot down because of serious security issues. Consequently, Netscape scrambles to release SSLv3. This protocol seems good enough for now and the golden era of the Web begins. The specification was eventually published as RFC 6101.
1999 IETF TLS v1.0 published In 1996, an IETF working group is formed to standardize SSL. Even though the resulting protocol is almost identical to SSL v3, the process takes 3 years. TLS v1.0 is published as RFC 2246. Microsoft forces the change of protocol name to Transport Layer Security (TLS), creating a confusion that continues to this day.
2006 IETF TLS v1.1 published A new version of the TLS protocol is released as RFC 4346. This version addresses the BEAST attack, but it will be 5 years before the world realizes.
2008 IETF TLS v1.2 published A new version of TLS is released as RFC 5246, although hardly anyone notices. A major new feature in this version is authenticated (AEAD) encryption, which removes the need for streaming and block ciphers (and thus the inherently vulnerable CBC mode).
2014 IETF TLS v1.3  First Draft
2018 IETF TLS v1.3 published After 5 years, TLS 1.3 has finally be published as RFC 8446. This TLS protocol update comes 10 years after the previous version, TLS 1.2.

 

TLS 1.3 – Faster and More Secure

TLS 1.3 จะลดขั้นตอนและรอบในการ Handshake ระหว่าง Client กับ Server ลง โดยใช้แค่ 1 รอบทำงาน(one round-trip) โดยที่ TLS 1.2 ขะใช้สองรอบการทำงาน(two round-trips) ทำให้การเข้ารหัสข้อมูลเกิดความรวดเร็วมากกว่า Protocol เก่าๆ

tls-1.2-vs-1.3-a.png

 

tls-1.2-vs-1.3-b.png

สำหรับในเรื่องความปลอดภัย TLS 1.3 ได้ยกเลิกการใช้งาน Features บางตัวที่ล้าสมัยและไม่ปลอดภัยออกไป ทำให้ปัจจุบัน TLS 1.3 เป็น Protocol ที่มีความปลอดภัยสูงที่สุด

Features Removed from TLS 1.3

  • SHA-1
  • RC4
  • DES
  • 3DES
  • AES-CBC
  • MD5
  • Arbitrary Diffie-Hellman groups — CVE-2016-0701
  • EXPORT-strength ciphers – Responsible for FREAK and LogJam