TLS 1.3 (Transport Layer Security versie 1.3) is de meest recente versie van het TLS protocol, gestandaardiseerd door de IETF als RFC 8446 in augustus 2018 na vier jaar ontwerp en 28 working drafts. TLS versleutelt HTTPS, SMTP STARTTLS, IMAPS, FTPS, OpenVPN, modern QUIC en veel andere protocollen. Vergeleken met TLS 1.2 (RFC 5246, augustus 2008) is TLS 1.3 sneller (handshake van een round trip of 0 RTT bij resumption), veiliger (verwijdert RC4, 3DES, CBC, RSA key exchange, statisch RSA, verplicht forward secrecy via ephemeral DH) en eenvoudiger (RFC 40 procent korter). Ondersteund door alle moderne browsers en servers sinds 2018 tot 2020. Meer dan 70 procent van HTTPS verzoeken op het open internet gebruikt TLS 1.3 volgens Cloudflare. TLS 1.0 en 1.1 zijn verouderd (IETF RFC 8996 maart 2021), uitgeschakeld in Chrome 84 (juli 2020), Firefox 78 (juni 2020), Safari 14 (september 2020), Edge 84 (juli 2020). PCI DSS verbiedt TLS < 1.2 sinds 2018, PCI DSS v4.0 (verplicht sinds 31 maart 2025) raadt TLS 1.3 aan.
Veranderingen vs TLS 1.2
| Aspect | TLS 1.2 | TLS 1.3 |
|---|---|---|
| Round trips | 2 | 1 of 0 |
| Ciphers | Honderden, veel zwak | 5 AEAD sterk |
| Forward secrecy | Optioneel | Verplicht |
| Heronderhandeling | Toegestaan | Verwijderd |
| Compressie | Toegestaan | Verwijderd |
| Versleutelde handshake | Vrijwel onversleuteld | Vanaf ServerHello versleuteld |
Handshake
- Client Hello met ciphers, key share (X25519), SNI.
- Server Hello, versleuteld certificaat, Finished.
- Client Finished.
- Application Data in dezelfde round trip.
0-RTT alleen voor idempotente verzoeken.
Performance
- Een round trip minder per nieuwe HTTPS verbinding.
- AES-GCM en ChaCha20-Poly1305 snel.
- X25519 5 tot 10 keer sneller dan RSA.
- Met HTTP/2 of HTTP/3.
Beveiliging
- Geen zwakke ciphers.
- Verplichte forward secrecy.
- Versleuteld certificaat.
- Geen renegotiation.
- Geen compressie.
- Downgrade bescherming.
nginx
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305;
ssl_prefer_server_ciphers off;
ssl_stapling on;Apache
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256
SSLHonorCipherOrder off
SSLUseStapling onCloudflare
TLS 1.3 standaard aan sinds 2018.
WordPress hosting
| Host | Status |
|---|---|
| Cloudflare, Kinsta, WP Engine, SiteGround, Cloudways, Hetzner | Standaard aan |
| Oude shared hosting | Vaak alleen 1.2, gebruik Cloudflare ervoor |
Testen
- Qualys SSL Labs.
- Mozilla Observatory.
- testssl.sh.
openssl s_client -connect example.nl:443 -tls1_3.curl --tlsv1.3 -v https://example.nl/.- Chrome DevTools Security.
Valkuilen
- Replay 0-RTT.
- Middleboxes die handshake breken.
- SNI onversleuteld (ECH RFC 9460).
- Oude clients.
- Onvolledige certificaatketen.
TLS 1.4?
Geen plannen. Toekomst via extensies aan 1.3. Chrome 124 (april 2024) en Cloudflare (maart 2024) met X25519MLKEM768.
Hoe helpt InspectWP?
InspectWP analyseert TLS, certificaat, ciphers en HSTS. TLS 1.0/1.1 wordt als kritiek gemarkeerd.