Go 1.12 TLS 1.3 简单测试

发表于2019-03-03由daniel

在《TLS 1.3 当前(2018.10)支持与部署之现状》中，我们提到 Go 将在 1.12 中支持 TLS 1.3. 作为一个 Gopher, 终于在前几天盼来了 golang 1.12 的发布。

但是从 release 日志看，本次对选择性的部分支持 TLS 1.3, 且默认处于关闭状态：

Go 1.12 adds opt-in support for TLS 1.3 in the crypto/tls package as specified by RFC 8446. It can be enabled by adding the value tls13=1 to the GODEBUG environment variable. It will be enabled by default in Go 1.13.

如果要开启 TLS 1.3，需要设置环境变量：GODEBUG=tls13=1.

本次发布的 TLS 1.3 的 cipher suite 无法配置，也不支持 0-RTT 模式：

TLS 1.3 cipher suites are not configurable. All supported cipher suites are safe, and if PreferServerCipherSuites is set in Config the preference order is based on the available hardware.

Early data (also called “0-RTT mode”) is not currently supported as a client or server.

要知道，没有 0-RTT 的 TLS 1.3 是没有灵魂的，对本次版本的失望那是肯定的。但是依然在第一时间升级了 Go 版本，简单测试了一下国内网络环境下 TLS 1.3 与 1.2 的握手延迟。如果对 TLS 1.3 握手延迟还不太熟悉，可以参见拙文《TLS1.3/QUIC 是怎样做到 0-RTT 的》以及 TLS 1.3 Handshake Protocol.

测试代码

package main

import (
"crypto/tls"
"flag"
"log"
"time"
)

const (
MaxInt = int(^uint(0) &gt;&gt; 1)
MinInt = -MaxInt - 1
)

func main() {
var testCnt int
flag.IntVar(&amp;testCnt, "c", 10, "test count")
flag.Parse()

testAddr := "blog.cloudflare.com:443"

// tls 1.2
config := &amp;tls.Config{
SessionTicketsDisabled: true,
MaxVersion:             tls.VersionTLS12,
}
min12, max12, avg12 := testTLS(testCnt, testAddr, config)
log.Printf("tls 1.2 dial, min:%dms, max:%dms, avg:%dms", min12/1e6, max12/1e6, avg12/1e6)

// tls 1.3
config.MaxVersion = tls.VersionTLS13
min13, max13, avg13 := testTLS(testCnt, testAddr, config)
log.Printf("tls 1.3 dial, min:%dms, max:%dms, avg:%dms", min13/1e6, max13/1e6, avg13/1e6)

log.Printf("tls 1.3 vs 1.2: min:%.02f, max:%.02f, avg:%.02f", float32(min13)/float32(min12), float32(max13)/float32(max12), float32(avg13)/float32(avg12))

}

func testTLS(testCnt int, addr string, config *tls.Config) (min, max, avg int) {
min = MaxInt
max = MinInt
total := 0
for i := 0; i &lt; testCnt; i++ {
        hsStartTime := time.Now()
        conn, err := tls.Dial("tcp", addr, config)
        if err != nil {
            log.Fatalf("make tls connection failed:%v", err)
        }
        dialCost := int(time.Since(hsStartTime).Nanoseconds())
        if dialCost &gt; max {
max = dialCost
}
if dialCost &lt; min {
            min = dialCost
        }
        total += dialCost
        state := conn.ConnectionState()
        log.Printf("tls version:%#v", state.Version)
        conn.Close()
    }
    avg = total / testCnt
    return
}

package main

import (

"crypto/tls"

"flag"

"log"

"time"

)

const (

MaxInt = int(^uint(0) >> 1)

MinInt = -MaxInt - 1

)

func main() {

var testCnt int

flag.IntVar(&testCnt, "c", 10, "test count")

flag.Parse()

testAddr := "blog.cloudflare.com:443"

// tls 1.2

config := &tls.Config{

SessionTicketsDisabled: true,

MaxVersion: tls.VersionTLS12,

}

min12, max12, avg12 := testTLS(testCnt, testAddr, config)

log.Printf("tls 1.2 dial, min:%dms, max:%dms, avg:%dms", min12/1e6, max12/1e6, avg12/1e6)

// tls 1.3

config.MaxVersion = tls.VersionTLS13

min13, max13, avg13 := testTLS(testCnt, testAddr, config)

log.Printf("tls 1.3 dial, min:%dms, max:%dms, avg:%dms", min13/1e6, max13/1e6, avg13/1e6)

log.Printf("tls 1.3 vs 1.2: min:%.02f, max:%.02f, avg:%.02f", float32(min13)/float32(min12), float32(max13)/float32(max12), float32(avg13)/float32(avg12))

}

func testTLS(testCnt int, addr string, config *tls.Config) (min, max, avg int) {

min = MaxInt

max = MinInt

total := 0

for i := 0; i < testCnt; i++ {

hsStartTime := time.Now()

conn, err := tls.Dial("tcp", addr, config)

if err != nil {

log.Fatalf("make tls connection failed:%v", err)

}

dialCost := int(time.Since(hsStartTime).Nanoseconds())

if dialCost > max {

max = dialCost

}

if dialCost < min {

min = dialCost

}

total += dialCost

state := conn.ConnectionState()

log.Printf("tls version:%#v", state.Version)

conn.Close()

}

avg = total / testCnt

return

}

需要说明的是，这个测试是不严谨，里面没有考虑 cipher suite 以及 early data 的差异。测试结果定性意义大于定量意义。

测试结果

测试使用的目标服务器地址是 blog.cloudflare.com:443, 我的网络环境下，ping 延迟为 226 ms (1-RTT).

root@host:~/tmp# GODEBUG=tls13=1 go run tlst.go -c 20
2019/03/03 00:06:44 tls version:0x303
...
2019/03/03 00:07:02 tls 1.2 dial, min:497ms, max:2977ms, avg:952ms
2019/03/03 00:07:02 tls version:0x304
...
2019/03/03 00:07:17 tls 1.3 dial, min:320ms, max:2176ms, avg:755ms
2019/03/03 00:07:17 tls 1.3 vs 1.2: min:0.64, max:0.73, avg:0.79

root@host:~/tmp# GODEBUG=tls13=1 go run tlst.go -c 20

2019/03/03 00:06:44 tls version:0x303

...

2019/03/03 00:07:02 tls 1.2 dial, min:497ms, max:2977ms, avg:952ms

2019/03/03 00:07:02 tls version:0x304

...

2019/03/03 00:07:17 tls 1.3 dial, min:320ms, max:2176ms, avg:755ms

2019/03/03 00:07:17 tls 1.3 vs 1.2: min:0.64, max:0.73, avg:0.79

const (
    VersionSSL30 = 0x0300
    VersionTLS10 = 0x0301
    VersionTLS11 = 0x0302
    VersionTLS12 = 0x0303
    VersionTLS13 = 0x0304
)

const (

VersionSSL30 = 0x0300

VersionTLS10 = 0x0301

VersionTLS11 = 0x0302

VersionTLS12 = 0x0303

VersionTLS13 = 0x0304

)

从结果看，有如下结论：

TLS 1.3 平均比 TLS 1.2 建立连接的延迟低约 1-RTT，跟理论分析是吻合的。但是，
从 max 项可以看出，部分时候国内到目标服务器网络不稳定带来的波动比 TLS 本身协议优化的 RTT 大的多。因此，稳定高延迟的网络链路有时候比低延迟高抖动的网络更有实际意义。
TLS 建立在 TCP 基础上，TCP 的握手延迟在 TLS 层面是优化不掉的，或者说不是 TLS 的管辖范围，因此，在允许的情况下，尽量复用连接。

HTTP/3 已经箭在弦上，你准备好了吗？

发表于2019-02-06由daniel

去年的这个时候，国内的 web 网络环境开始普及和部署 HTTP/2. 时隔一年，HTTP/2 的普及程度有了显著提升，而各大CDN厂商普及的广度和速度一直走在行业前列。甚至有不少CDN厂商在直播以及部分HTTP场景还引入了 QUIC.

在拙文《当我们在谈论HTTP队头阻塞时，我们在谈论什么？》中，我们提到，HTTP/2 over QUIC 是当前唯一应用落地解决了传输层队头阻塞问题的HTTP实现。那个时候，无论是 HTTP/2 over TCP 还是 HTTP/2 over QUIC(UDP) 都被我们认为是 HTTP/2，只是传输层使用的协议不一样。这种略带暧昧的模糊叫法在2018年11月成为了历史：

在2018年10月28日的邮件列表讨论中，互联网工程任务组（IETF） HTTP和QUIC工作组主席Mark Nottingham提出了将HTTP-over-QUIC更名为HTTP/3的正式请求，以“明确地将其标识为HTTP语义的另一个绑定……使人们理解它与QUIC的不同”，并在最终确定并发布草案后，将QUIC工作组继承到HTTP工作组。在随后的几天讨论中，Mark Nottingham的提议得到了IETF成员的接受，他们在2018年11月给出了官方批准，认可HTTP-over-QUIC成为HTTP/3。

虽然看起来像是之前的 HTTP/2 over QUIC 换了一个名称（从我个人角度理解，取名为 HTTP/2.1也许更合适），但是其背后却体现了 IETF 对 HTTP 未来标准的态度和方向，也许几年以后来看这次名称的确立会更加明白其重要意义。

HTTP/3 与 HTTP/2 over QUIC 的区别

QUIC 将成为一个通用安全传输层协议

当前阶段，Google 实现的 QUIC 与 IETF 实现的 QUIC 是不兼容的。Google 版 QUIC 只能用于 HTTP/2，且在协议层面与 HTTP/2 有一些强绑定。如 QUIC 帧映射 HTTP/2 frame. 这就导致很多大厂都没有跟进 QUIC，使得 HTTP/2 over QUIC 基本只能在 Google 自家的 Chrome, Gmail 等软件中普及使用，一度给行业造成“只有Google在弄”的错觉。

纳入 IETF 以后，显然 Google 就不能这么玩了。QUIC 定位为一个通用安全传输层协议：

可以近似的认为 QUIC over UDP 将成为下一代（或替代）TLS over TCP. 也就是说， QUIC 将能应用于任何应用层协议中，只是当前阶段将优先在 HTTP 中进行应用和验证。

统一使用 TLS 1.3 作为安全协议

2018年，有几个重要的WEB标准终于尘埃落定，其中一个便是 RFC 8446 TLS 1.3. 这个标准对于降低延迟，改善用户体验，尤其是移动端的体验有非常重要的意义。在拙文《TLS1.3/QUIC 是怎样做到 0-RTT 的》中，我们提到虽然 TLS 1.3和 QUIC 都能做到 0-RTT，从而降低延迟，但是 QUIC 却自顾自地实现了一套安全协议。主要是因为当时 TLS 1.3 标准还没有发布，而 QUIC 又需要一套安全协议：

The QUIC crypto protocol is the part of QUIC that provides transport security to a connection. The QUIC crypto protocol is destined to die. It will be replaced by TLS 1.3 in the future, but QUIC needed a crypto protocol before TLS 1.3 was even started.

如今，TLS 1.3 标准已经发布，而 HTTP/3 也纳入 IETF，因此 QUIC 也就顺理成章的使用 TLS 1.3 作为其安全协议。Google 在这些方面倒是从来都不鸡贼和墨迹，点赞。

使用 QHPACK 头部压缩代替 HPACK

其实，QPACK与HPACK的设计非常类似，单独提出QPACK主要是更好的适配QUIC，同时也是 Google 将 QUIC 从与 HTTP/2 的耦合中抽离出来，与 IETF 标准完成统一的必要一步。

HTTP/3 问题与挑战

UDP 连通性问题

几乎所有的电信运营商都会“歧视” UDP 数据包，原因也很容易理解，毕竟历史上几次臭名昭著的 DDoS 攻击都是基于 UDP 的。国内某城宽带在某些区域更是直接禁止了非53端口的UDP数据包，而其他运营商及IDC即使没有封禁UDP，也是对UDP进行严格限流的。这点上不太乐观，但是我们相信随着标准的普及和推广落地，运营商会逐步改变对UDP流量的歧视策略。国外的情况会稍好一些，根据Google的数据，他们部署的QUIC降级的比例不到10%。

QUIC 不支持明文传输

对于用户来说，这是一个优势，并不是问题。对于国内内容审查环境来说是个不可忽视的坎。但QUIC以后毕竟也是基于TLS协议的，国内HTTPS都能普及下来，QUIC的普及也许会更乐观一些。

UDP 消耗资源多

当前阶段，UDP消耗的CPU资源多，且处理速度慢。这是不争的事实，但是我相信随着UDP应用的增多，内核和硬件的优化一定会跟上，直至达到或超过TCP的性能。而 QUIC 因为实在应用层实现，因此迭代速度更快，部署和更新难度和代价更小，能够一定程度缓解如TCP那样的协议僵化问题。

进一步了解 HTTP/3

如果希望全面的了解 HTTP/3，推荐 Daniel Stenberg （CURL 作者）的 HTTP/3 explained, 如果不想看英文，可以翻阅 Yi Bai 同学翻译了中文版本HTTP/3详解。

从源代码编译 nginx docker 镜像开启 TLS 1.3

发表于2018-03-14由daniel

nginx最近更新挺频繁的，其中TLS 1.3和是HTTP/2 Server Push是两个比较有意思的特性。前者可以有效的减少握手次数，降低延迟，尤其在恢复会话时候可以将握手开销降低到 0-RTT，后者则可以通过服务器主动推送资源，可以认为是在资源预加载之上更进一步的「资源主动加载」，有效提高网页性能和用户体验。

考虑到平时自己需要比较频繁的测试不同的nginx的新版本，但是又不想破坏机器本地已经安装好的nginx环境，因此我决定制作一个nginx docker镜像。需要说明的是，dockerhub官方是有一个nginx镜像的，但我们希望自己定制nginx版本和需要开启的模块，因此该镜像并不符合需求。

这里以开启TLS 1.3为例制作一个以ubuntu:16.04为基础镜像的 nginx dockerm镜像。顺便把上次在Ubuntu 14.04开启nginx http2支持的方法中埋的坑填了?

nginx开启TLS 1.3的前置条件

nginx >= 1.13.0
openSSL >= 1.1.1 alpha

openSSL版本有几点点需要注意：

以前可以使用分支tls1.3-draft-18编译支持TLS 1.3，~~但是现在已经merge到1.1.1版本中了，因此，这里不再推荐使用tls1.3-draft-18编译nginx~~. 使用openSSL 1.1.1编译nginx会触发nginx的一个config bug: undefined reference to 'pthread_atfork', 解决办法可以参见这里以及nginx mailing list, 这里暂时回退到使用tls1.3-draft-18.
不要尝试使用tls1.3-draft-19编译nginx, 使用Chrome 64测试无法在nginx 1.13.9上成功开启TLS 1.3, 应该跟Chrome对draft版本的支持有关系。
- 2018-03-14更新：升级到Chrome 65以后，发现默认支持为TLS 1.3 Draft 23, 后面顺带连通config bug一起解决了再更新。
openSSL目前最新版本是OpenSSL_1_1_1-pre2, 还不是stable版本，因此，不要在生产环境中使用。

Dockerfile

FROM ubuntu:16.04

LABEL maintainer="liudanking@gmail.com"

RUN apt-get update

# dependency
RUN set -x \
    &amp;&amp; apt-get install build-essential libpcre3 libpcre3-dev zlib1g-dev unzip git -y

RUN apt-get install wget

# module nginx-ct
RUN set -x  \
    &amp;&amp; wget -O nginx-ct.zip -c https://github.com/grahamedgecombe/nginx-ct/archive/v1.3.2.zip \
    &amp;&amp; unzip nginx-ct.zip

# module ngx_brotli
RUN set -x \
    &amp;&amp; git clone https://github.com/google/ngx_brotli.git \
    &amp;&amp; cd ngx_brotli \
    &amp;&amp; git submodule update --init

# openssl 1.3
RUN set -x \
    &amp;&amp; git clone -b 'OpenSSL_1_1_1-pre2' --single-branch --depth 1 https://github.com/openssl/openssl.git openssl 
    #&amp;&amp; git clone -b tls1.3-draft-18 --single-branch https://github.com/openssl/openssl.git openssl

# build and install nginx
RUN set -x \
    &amp;&amp; wget -c https://nginx.org/download/nginx-1.13.9.tar.gz \
    &amp;&amp; tar zxf nginx-1.13.9.tar.gz \
    &amp;&amp; cd nginx-1.13.9 \
    &amp;&amp; ./configure --add-module=../ngx_brotli --add-module=../nginx-ct-1.3.2 --with-openssl=../openssl --with-openssl-opt='enable-tls1_3 enable-weak-ssl-ciphers' --with-http_v2_module --with-http_ssl_module --with-http_gzip_static_module \
    &amp;&amp; make \
    &amp;&amp; make install 

CMD ["/usr/local/nginx/sbin/nginx", "-g", "daemon off;"]

FROM ubuntu:16.04

LABEL maintainer="liudanking@gmail.com"

RUN apt-get update

# dependency

RUN set -x \

&& apt-get install build-essential libpcre3 libpcre3-dev zlib1g-dev unzip git -y

RUN apt-get install wget

# module nginx-ct

RUN set -x \

&& wget -O nginx-ct.zip -c https://github.com/grahamedgecombe/nginx-ct/archive/v1.3.2.zip \

&& unzip nginx-ct.zip

# module ngx_brotli

RUN set -x \

&& git clone https://github.com/google/ngx_brotli.git \

&& cd ngx_brotli \

&& git submodule update --init

# openssl 1.3

RUN set -x \

&& git clone -b 'OpenSSL_1_1_1-pre2' --single-branch --depth 1 https://github.com/openssl/openssl.git openssl

#&& git clone -b tls1.3-draft-18 --single-branch https://github.com/openssl/openssl.git openssl

# build and install nginx

RUN set -x \

&& wget -c https://nginx.org/download/nginx-1.13.9.tar.gz \

&& tar zxf nginx-1.13.9.tar.gz \

&& cd nginx-1.13.9 \

&& ./configure --add-module=../ngx_brotli --add-module=../nginx-ct-1.3.2 --with-openssl=../openssl --with-openssl-opt='enable-tls1_3 enable-weak-ssl-ciphers' --with-http_v2_module --with-http_ssl_module --with-http_gzip_static_module \

&& make \

&& make install

CMD ["/usr/local/nginx/sbin/nginx", "-g", "daemon off;"]

Nginx 开启 TLS1.3

一个完整的配置模板参考如下：

    server {
        listen       443 ssl http2;
        server_name  localhost;

        ssl_certificate      /usr/local/nginx/conf/ssl/chained.pem;
        ssl_certificate_key  /usr/local/nginx/conf/ssl/domain.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_protocols   TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
        ssl_ciphers     TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-CHACHA20-POLY1305-D:ECDHE-RSA-CHACHA20-POLY1305-D:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA384;
        ssl_prefer_server_ciphers  on;

        location / {
            root   html;
            index  index.html index.htm;
        }
    }

server {

listen 443 ssl http2;

server_name localhost;

ssl_certificate /usr/local/nginx/conf/ssl/chained.pem;

ssl_certificate_key /usr/local/nginx/conf/ssl/domain.key;

ssl_session_cache shared:SSL:1m;

ssl_session_timeout 5m;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-CHACHA20-POLY1305-D:ECDHE-RSA-CHACHA20-POLY1305-D:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA384;

ssl_prefer_server_ciphers on;

location / {

root html;

index index.html index.htm;

}

主要新增两个修改：

ssl_protocols添加TLSv1.3.
ssl_ciphers加入TLS13_为前缀的密码套件。

完整项目地址：docker-nginx

验证TLS 1.3

Chrome: 将 chrome://flags/ 中的 Maximum TLS version enabled 改为 Enabled (Draft).

如果你刚刚升级到了Chrome 65，选项中开启TLS1.3有三个选项：Enabled(Experiment 2), Enabled(Draft 22), Enabled (Draft 23). 同时很遗憾的告诉你，本文中使用的是Draft 18编译nginx，因此无法配合Chrome 65无法开启TLS1.3，请下面介绍Firefox的开启方法测试TLS1.3?

Firefox: 将 about:config 中的 security.tls.version.max 改为 4.

以Chrome 64为例，如果开启成功后Protocol显示TLS 1.3:

你也可以访问tls.liudanking.com来测试自己的浏览器是否已经成功开启TLS 1.3.

参考资料

本博客开始支持 TLS 1.3

行思錄 | Travel Coder

Arch, Coding, Life

标签归档：TLS1.3

Go 1.12 TLS 1.3 简单测试

测试代码

测试结果

HTTP/3 已经箭在弦上，你准备好了吗？

HTTP/3 与 HTTP/2 over QUIC 的区别

QUIC 将成为一个通用安全传输层协议

统一使用 TLS 1.3 作为安全协议

使用 QHPACK 头部压缩代替 HPACK

HTTP/3 问题与挑战

UDP 连通性问题

QUIC 不支持明文传输

UDP 消耗资源多

进一步了解 HTTP/3

从源代码编译 nginx docker 镜像开启 TLS 1.3

nginx开启TLS 1.3的前置条件

Dockerfile

Nginx 开启 TLS1.3

验证TLS 1.3

参考资料