TLS 1.2 vs TLS 1.3: sikkerhed, performance og hvad der blev fjernet

TLS 1.3 var den første større omskrivning af protokollen i næsten et årti, og den ændrede mere end versionsnummeret antyder. Den er hurtigere, fjerner en stak svage algoritmer og giver forward secrecy som standard. Her er hvad der konkret adskiller de to versioner, og hvad du bør gøre på dine servere.

Kort svar

TLS 1.3 er hurtigere og sikrere end TLS 1.2. Den reducerer handshaken fra to round-trips til ét, fjerner statisk RSA-key-exchange, RC4, 3DES, CBC-mode-ciphers og MD5/SHA-1-signaturer, og gør forward secrecy obligatorisk. TLS 1.2 er stadig sikkert hvis det konfigureres korrekt, men kræver aktiv hærdning. Tilbyd begge, prioritér 1.3, og deaktivér alt under 1.2.

Performance: én round-trip mindre

I TLS 1.2 skal klienten vente på serverens hello før den kan sende sit key-exchange-bidrag — to round-trips før data flyder. TLS 1.3 sender klientens key share allerede i Client Hello, så serveren kan svare færdigt på én gang. På et netværk med 50 ms latens sparer det omkring 50 ms pr. ny forbindelse — mærkbart på mobil. Hvordan begge handshakes ser ud trin for trin gennemgår vi i TLS handshake forklaret.

Sikkerhed: færre måder at gøre det forkert på

TLS 1.2's største svaghed er fleksibilitet: den tillader stadig usikre valg, så en dårligt konfigureret server kan forhandle en svag cipher. TLS 1.3 skar muligheden væk. Kun fem AEAD-baserede cipher suites er tilbage, alle med forward secrecy, og hele Server Hello og certifikatet sendes krypteret. De fjernede algoritmer:

Statisk RSA key exchange — havde ingen forward secrecy.
CBC-mode ciphers — kilde til Lucky13 og lignende angreb.
RC4 og 3DES — forældede, brudte eller for svage.
MD5 og SHA-1 som signatur-hash — kollisionssårbare.
Renegotiation og kompression — kilde til CRIME/renegotiation-angreb.

Sammenligning

Egenskab	TLS 1.2	TLS 1.3
Udgivet	2008	2018
Handshake	2-RTT	1-RTT (0-RTT muligt)
Forward secrecy	Valgfrit (ECDHE)	Obligatorisk
Cipher suites	37+, mange svage	5, alle AEAD
Krypteret certifikat	Nej	Ja
RSA/CBC/RC4/3DES	Tilladt	Fjernet

Konfiguration: tilbyd begge, hærd TLS 1.2

De fleste sites bør tilbyde både 1.2 og 1.3 — 1.3 til moderne klienter, 1.2 til ældre der endnu ikke understøtter 1.3. Det vigtige er at slukke alt under 1.2 og kun tillade stærke ciphers på 1.2. I nginx:

ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers off;
# kun til TLS 1.2 — TLS 1.3 vælger automatisk sine fem stærke ciphers
ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:\
ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;

Bemærk at ssl_ciphers kun styrer TLS 1.2; TLS 1.3's cipher suites er faste i protokollen. Vil du forstå hvad en cipher suite faktisk indeholder, så se hvad er en cipher suite.

Bør jeg slå TLS 1.2 helt fra?

Sjældent endnu. Selvom 1.3 understøttes bredt, findes der stadig ældre klienter, API-integrationer og IoT-enheder der kun taler 1.2. At slukke 1.2 helt risikerer at låse dem ude. Det du skal slukke er TLS 1.0 og 1.1 — se hvorfor du bør deaktivere TLS 1.0 og 1.1.

Hvordan CertControl hjælper

CertControl fremforhandler en rigtig handshake mod hvert endpoint og rapporterer præcis hvilke protokolversioner og cipher suites serveren tilbyder. Tilbyder en server stadig TLS 1.0/1.1 eller en svag 1.2-cipher, markeres det som et fund — så I kan hærde systematisk i stedet for at gætte server for server.

Ofte stillede spørgsmål

Er TLS 1.2 stadig sikkert?

Ja, hvis det konfigureres korrekt: kun stærke ECDHE-baserede AEAD-ciphers og ingen CBC, RC4 eller 3DES. Forskellen er at TLS 1.2 tillader usikre valg, mens TLS 1.3 har fjernet dem helt. Derfor kræver 1.2 aktiv hærdning.

Hvorfor er TLS 1.3 hurtigere?

Fordi handshaken er reduceret fra to round-trips til ét. Klienten sender sit key share allerede i Client Hello, så krypteret data kan flyde efter en enkelt frem-og-tilbage. Ved genoptagne forbindelser kan 1.3 endda klare 0-RTT.

Hvad blev fjernet i TLS 1.3?

Statisk RSA key exchange, CBC-mode ciphers, RC4, 3DES, MD5- og SHA-1-signaturer, kompression og renegotiation. Tilbage er fem AEAD-cipher suites, alle med forward secrecy.

Skal jeg vælge mellem 1.2 og 1.3?

Nej. Servere tilbyder typisk begge, og klienten forhandler den højeste fælles version. Du tilbyder altså 1.3 til moderne klienter og 1.2 til de ældre — uden at vælge.

Hvad er en AEAD-cipher?

AEAD (Authenticated Encryption with Associated Data) kombinerer kryptering og integritetstjek i én operation, fx AES-GCM eller ChaCha20-Poly1305. Det eliminerer hele klasser af angreb som de gamle CBC-ciphers var udsatte for.

Understøtter alle browsere TLS 1.3?

Alle moderne browsere har understøttet TLS 1.3 i flere år. Det er primært ældre enheder, indlejrede systemer og visse API-klienter der stadig kun taler 1.2 — derfor beholder man typisk 1.2 som fallback.

Se platformen Book demo