Netflix宣佈其影音串流服務開始支持TLS 1.3,以提供用戶更安全以及更快的視頻觀賞體驗。經安全性分析,Netflix確認TLS 1.3可以提供比TLS 1.2更好的通信安全性,而且Netflix還對百萬用戶進行了測試,證實TLS 1.3能帶來較好的視頻播放性能。
TLS是傳輸層安全性協議,為了使網絡兩方可以安全的通信,建立安全的通信信道是必要的工作,協議需要具有身份驗證、機密性和完整性三種特性,通信雙方都必須驗證身份,且通過信道傳送的數據,只有在端點才可檢視這些數據,讓攻擊者無法修改信道中的數據,TLS協議實現了這三種特性,可在兩個同儕端點提供安全信道。
Netflix過去在電視、機上盒和媒體串流播放器等設備,已經使用TLS 1.2來保護串流流量,而現在Netflix開始支持最新的TLS 1.3。Netflix提到,提供完全前向保密(Perfect ForwardSecrecy,PFS)是一件非常重要的工作;PFS是密鑰交換算法的一項功能,是要確保即便服務器的私鑰被駭,對話密鑰仍可以維持其安全性,通過為每個對話產生新的密鑰,PFS可以保護之前的對話,也能防止未來的密鑰洩漏。
Netflix提到,雖然TLS 1.2支持帶有PFS的密鑰交換算法,但同時也允許不支持PFS的密鑰交換算法,而TLS 1.3刪除了所有不提供密鑰交換算法,能進一步強化完全前向保密的想法。不只如此,TLS1.3也刪除所有弱加密方法,僅使用帶有AEAD的身份驗證加密,確保數據的機密性、完整性和真實性。
不過,對Netflix來說,TLS 1.3最重要的功能,是提供了新的安全交握方法,TLS 1.3重新設計了交握協議,能更完全地保護交握過程。在TLS 1. 2中,僅保護加密套件協商之後的部分交握,而這為攻擊者開了一個可攻擊的漏洞,但使用TLS1.3,服務器會簽署整個交握過程,包括從加密套件協商開始,因此可以防範攻擊者降級加密套件。
另外,TLS 1.3還簡化了交握過程,TLS 1.2一次交握總共需要兩次網絡往返才能完成,而TLS 1.3就只需要進行一次往返;TLS 1.3具有用於恢復交握的0-RTT(Zero Round Trip TimeResumption)技術,允許應用程序在初始交握信息中,就包含應用程序數據,而不需要等到交握完成後,才能開始傳輸應用程序數據,而這項功能對Netflix來說很有用,因為通過恢復TLS對話,並在串流數據中使用0-RTT,可以減少播放延遲。
由於Netflix應用程序不再需要等待交握完成,就能發出媒體數據的HTTP請求,因此可讓用戶更快速的開始播放視頻,且經過Netflix的A/B測試結果也證明,TLS1.3的確可以降低播放延遲,特別是在速度較慢或堵塞的網絡上,能得到最大的效益。
整體來說,所有網絡條件下的性能都能獲得改進。而且由於CPU高負載,導致設備無法快速處理媒體數據,所發生的媒體重緩衝(Media Rebuffer),TLS1.3也可以有7.4%的改善,Netflix說明,這代表結合使用TLS 1.3與0-RTT,可以減少CPU的負載。
編輯:AI智慧
