TLS 1.3 (Transport Layer Security versao 1.3) e a versao mais recente do protocolo TLS, padronizada pela IETF como RFC 8446 em agosto de 2018 apos quatro anos de design e 28 drafts. TLS cifra HTTPS, SMTP STARTTLS, IMAPS, FTPS, OpenVPN, QUIC moderno e muitos outros protocolos. Comparado ao TLS 1.2 (RFC 5246, agosto 2008), TLS 1.3 e mais rapido (handshake de um round trip ou 0 RTT na retomada), mais seguro (remove RC4, 3DES, CBC, troca de chave RSA, RSA estatico, exige forward secrecy via DH efemero) e mais simples (RFC 40 por cento menor). Suportado por todos os navegadores e servidores principais desde 2018 a 2020. Mais de 70 por cento das requisicoes HTTPS na internet aberta usam TLS 1.3 segundo Cloudflare. TLS 1.0 e 1.1 estao obsoletos (IETF RFC 8996 marco 2021), desativados em Chrome 84 (jul 2020), Firefox 78 (jun 2020), Safari 14 (set 2020), Edge 84 (jul 2020). PCI DSS proibe TLS < 1.2 desde 2018, PCI DSS v4.0 (obrigatorio desde 31 marco 2025) recomenda TLS 1.3.
Mudancas vs TLS 1.2
| Aspecto | TLS 1.2 | TLS 1.3 |
|---|---|---|
| Round trips | 2 | 1 ou 0 |
| Cifras | Centenas, muitas fracas | 5 AEAD fortes |
| Forward secrecy | Opcional | Obrigatoria |
| Renegociacao | Permitida | Removida |
| Compressao | Permitida | Removida |
| Handshake cifrado | Quase tudo em claro | ServerHello em diante cifrado |
Handshake
- Client Hello com cifras, key share (X25519), SNI.
- Server Hello + certificado cifrado + Finished.
- Client Finished.
- Application Data no mesmo round trip.
0-RTT apenas para requisicoes idempotentes.
Performance
- Um round trip economizado por conexao HTTPS.
- AES-GCM e ChaCha20-Poly1305 rapidos.
- X25519 5 a 10 vezes mais rapido que RSA.
- Com HTTP/2 ou HTTP/3.
Seguranca
- Sem cifras fracas.
- Forward secrecy obrigatoria.
- Certificado cifrado.
- Sem renegociacao.
- Sem compressao.
- Protecao contra downgrade.
nginx
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305;
ssl_prefer_server_ciphers off;
ssl_stapling on;Apache
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256
SSLHonorCipherOrder off
SSLUseStapling onCloudflare
TLS 1.3 ativo por padrao desde 2018.
Hospedagens WordPress
| Host | Estado |
|---|---|
| Cloudflare, Kinsta, WP Engine, SiteGround, Cloudways, Hetzner | Padrao |
| Compartilhadas antigas | Frequentemente 1.2, usar Cloudflare na frente |
Testar
- Qualys SSL Labs.
- Mozilla Observatory.
- testssl.sh.
openssl s_client -connect example.com:443 -tls1_3.curl --tlsv1.3 -v https://example.com/.- Chrome DevTools Security.
Armadilhas
- Replay 0-RTT.
- Middleboxes que quebram o novo handshake.
- SNI em claro (ECH RFC 9460).
- Clientes antigos.
- Cadeia de certificados incompleta.
TLS 1.4?
Sem planos. Melhorias como extensoes a 1.3. Chrome 124 (abril 2024) e Cloudflare (marco 2024) com X25519MLKEM768.
Como o InspectWP ajuda?
InspectWP analisa TLS, certificado, cifras e HSTS de cada URL. TLS 1.0/1.1 marcado como critico.