Citrix宣布在Citrix ADC系列產品中 的 MPX 和 SDX 平台推出 TLS 1.3 硬體加速支援。藉由Citrix全新硬體加速幫助客戶處理更大的TLS加密流量。
現今的網際網路加密流量透過TLS協定可更快速且安全的通訊。而 TLS 1.3 通訊協定是對 tTLS 完整的重新設計,而我們建議客戶採用此通訊協定,因為具有更強的安全性及更好的效能。
在2018年由IETF發布最新的TLS 1.3版本時,Citrix是率先在其ADC軟體版和韌體中納入 TLS 1.3 支援的ADC 廠商之一。之後,我們見證了採用TLS 1.3的客戶都迅速增加。
TLS 1.3 通訊協定的優勢
TLS 1.3 比 TLS 1.2具有更多優勢,其中包括強化資安。TLS 1.3預設採用完全前向保密,意即,私鑰遭破解,也無法解密之前側錄的加密流量。此外, TLS 1.3 移除了不安全的加密演算法,提供更安全且簡單的設定。此協定能防止DROWN、POODLE、SLOTH 等已知的弱點,以構成更安全且穩健的通訊協定。
另一項針對 TLS 1.2 的重要改良則是減少延遲。TLS 1.3 僅需要一次往返即可設定連線,能減少整個交握過程中的往返次數。這會在建立工作階段時節省數百毫秒,帶來更快速的體驗。
此外,TLS 1.3能啟用0-RTT協定,可以在客戶端與伺服器端中快速恢復之前的連線。此協定讓應用程式先傳送請求再完成 TLS 交握。雖然啟用 0-RTT 恢復功能會讓應用程式伺服器容易受到重送攻擊。不過,Citrix 在所有的Citrix ADC 設備上已經建立全域重送偵測,能提供最強的重送保護機制。
帶有TLS 1.3硬體加速功能的Citrix ADC
所有 TLS 加密方案皆需要 CPU 處理時間,這會增加網路上的請求和響應的延遲。CPU 使用率(和延遲)的增加會嚴重影響應用程式效能。而Citrix ADC硬體平台允許讓多數TLS 1.3的加密、解密交握工作負載到SSL加速晶片上,如此一來能有效減少CPU使用率,讓CPU做其他的工作和功能。
在我們對 TLS 1.3 硬體加速支援設計與優化的期間,經效能測試證明與 TLS 1.2 資料相比時,TLS 1.3與TTLS 1.2的每秒SSL交握次數與SSL流量吞吐完全相同。