在昨天简单介绍了 TLS 的变化和趋势之后,特别想看看基于目前的都是预发布版本或者测试版的情况下,TLS 1.3 的支持。
于是用了 Vultr 的 IPv6 only 的最低 2.5美元每月的 VPS,用于测试。该计划是 1vCPU,512MB 内存,20GB SSD 磁盘空间。
用的是位于Seattle,西雅图机房的 VPS,选择安装的是 Ubuntu 18.04 x64 版本系统。
编译 nginx 以及 openssl 有关的,基本上按照 Jerry Qu 的文章来操作。有区别的就是一个是我用了 nginx 1.14.0 版本,以及 openssl 最新的 1.1.1 pre9-dev 版本。
目前 openssl 的支持 TLS 1.3 草案,支持到 draft-26, draft-27, draft-28。
加密套件是:
- TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
- TLS_AES_128_GCM_SHA256
- TLS_AES_128_CCM_8_SHA256
- TLS_AES_128_CCM_SHA256
编译的过程没有什么问题,完成后,加上 Let's Encrypt 的证书。
于是我就测试了一下在 Chrome 正式版(当前是 v67),被降级到 TLS 1.2 方式。
在 Chrome Dev版 (当前是 v69),可以看到是 TLS 1.3,用 AES_256_GCM 加密。
在 Firefox 正式版(当前是 v61.0.1),也是 TLS1.3,显示用 TLS_AES_256_GCM_SHA384 加密。
在Opera 正式版 (当前是 v54),显示 TLS 1.2,估计因为它也是用 Chromium 核心的原因。
于是我查了一下 Chrome 67,目前支持到 TLS Draft 23。而Chrome 69,已经支持 TLS 1.3 Draft-28了。
第二个就是因为在编译 nginx 的时候,加入了 Brotli 算法,如果用支持此压缩算法的浏览器,返回的内容就是用它来压缩的,的确可以看到压缩率比 gzip 高,比如一个 phpinfo 的页面,当 html 内容的大小为 88.7K,gzip 压缩方式返回大小为 23.38K,如果是 Brotli 压缩方式返回的大小是 21.39K。
两者相比, Brotli 比 gzip 少9%。
在返回的文件头会包含 br 作为 content-encoding。
content-encoding:br
目前主流浏览器都已经支持 Brotli 压缩算法,包括 Chrome,Edge,Firefox,Opera,Safari。
而 Web 服务器大部分都可以通过扩展或者社区来获得支持。
通过这些测试和资料查找,可以看出 TLS 1.3 很快就进入正式版了,并且被各大浏览器所支持。如果不是太着急的话可能等个一个月就会有正式版,那样就直接升级系统和浏览器就可以了。当然要记得修改 nginx 的配置文件。如果想先人一步,率先支持 TLS 1.3,那么就要自己编译相关的软件了,另外记得要保留 TLS 1.2 的支持,否则可能会遇到无合适的加密套件而无法连接的情况。