configuring-tls-1-3-for-secure-communications

TLS 1.3(RFC 8446)是传输层安全协议的最新版本,在安全性和性能方面相比 TLS 1.2 有显著改进,将握手延迟降低至 1-RTT,移除了过时的密码套件并强制要求完美前向保密。

9 stars

Best use case

configuring-tls-1-3-for-secure-communications is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

TLS 1.3(RFC 8446)是传输层安全协议的最新版本,在安全性和性能方面相比 TLS 1.2 有显著改进,将握手延迟降低至 1-RTT,移除了过时的密码套件并强制要求完美前向保密。

Teams using configuring-tls-1-3-for-secure-communications should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/configuring-tls-1-3-for-secure-communications/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/configuring-tls-1-3-for-secure-communications/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/configuring-tls-1-3-for-secure-communications/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How configuring-tls-1-3-for-secure-communications Compares

Feature / Agentconfiguring-tls-1-3-for-secure-communicationsStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

TLS 1.3(RFC 8446)是传输层安全协议的最新版本,在安全性和性能方面相比 TLS 1.2 有显著改进,将握手延迟降低至 1-RTT,移除了过时的密码套件并强制要求完美前向保密。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 配置 TLS 1.3 实现安全通信

## 概述

TLS 1.3(RFC 8446)是传输层安全协议的最新版本,在安全性和性能方面相比 TLS 1.2 有显著改进。它将握手延迟降低至 1-RTT(会话恢复时为 0-RTT),移除了过时的密码套件,并强制要求完美前向保密(PFS)。本技能涵盖在服务器上配置 TLS 1.3、验证配置以及测试常见错误配置。

## 目标

- 在 nginx 和 Apache Web 服务器上配置 TLS 1.3
- 使用 Python ssl 模块在应用程序中实施 TLS 1.3
- 使用 openssl 和 testssl.sh 验证 TLS 配置
- 了解 TLS 1.3 密码套件和密钥交换机制
- 配置具有适当保护的 0-RTT 早期数据
- 禁用旧版 TLS(1.0、1.1)和弱密码套件

## 核心概念

### TLS 1.3 密码套件

| 密码套件 | 密钥交换 | 认证 | 加密 | 哈希 |
|-------------|-------------|----------------|------------|------|
| TLS_AES_256_GCM_SHA384 | ECDHE/DHE | 证书 | AES-256-GCM | SHA-384 |
| TLS_AES_128_GCM_SHA256 | ECDHE/DHE | 证书 | AES-128-GCM | SHA-256 |
| TLS_CHACHA20_POLY1305_SHA256 | ECDHE/DHE | 证书 | ChaCha20-Poly1305 | SHA-256 |

### TLS 1.3 vs 1.2 改进

- **1-RTT 握手**:完整握手在一个往返内完成(TLS 1.2 需要 2 个)
- **0-RTT 恢复**:恢复连接可立即发送数据
- **无 RSA 密钥交换**:仅使用临时 Diffie-Hellman(强制 PFS)
- **简化密码套件**:移除了 CBC、RC4、3DES、静态 RSA、SHA-1
- **加密握手**:服务器证书在 ServerHello 之后加密传输

### 密钥交换组

- **x25519**:Curve25519 ECDH(首选,速度快)
- **secp256r1**:NIST P-256 ECDH(广泛支持)
- **secp384r1**:NIST P-384 ECDH(更高安全裕度)
- **x448**:Curve448 ECDH(最高安全性)

## 实施步骤

1. 验证 OpenSSL 版本支持 TLS 1.3(1.1.1 及以上)
2. 生成或获取 TLS 证书和私钥
3. 配置服务器使用 TLS 1.3 密码套件
4. 禁用 TLS 1.0 和 1.1(可选保留 1.2 以兼容旧版)
5. 设置首选密钥交换组
6. 启用 OCSP stapling 进行证书验证
7. 使用 openssl s_client 和 testssl.sh 测试配置
8. 配置 HSTS 头部实现 HTTP 严格传输安全

## 安全注意事项

- 0-RTT 数据容易受到重放攻击;限制为幂等请求
- 如需支持旧版客户端,始终包含 TLS 1.2 回退
- 使用 ECDSA 证书获得更好性能(相比 RSA)
- 启用 OCSP stapling 以改进客户端证书验证
- 将 HSTS 头部设置较长的 max-age 并包含 includeSubDomains
- 监控证书透明度日志

## 验证标准

- [ ] TLS 1.3 握手成功完成
- [ ] 仅提供已批准的密码套件
- [ ] 完美前向保密得到执行
- [ ] TLS 1.0 和 1.1 被拒绝
- [ ] OCSP stapling 正常工作
- [ ] 证书链有效且完整
- [ ] testssl.sh 未报告漏洞

Related Skills

exploiting-insecure-deserialization

9
from killvxk/cybersecurity-skills-zh

在授权渗透测试中识别并利用 Java、PHP、Python 和 .NET 应用程序中的不安全反序列化漏洞以实现远程代码执行。

configuring-zscaler-private-access-for-ztna

9
from killvxk/cybersecurity-skills-zh

配置 Zscaler Private Access(ZPA),通过部署 App Connector、定义应用程序段、 基于用户身份和设备态势配置访问策略以及与 IdP 集成,以零信任网络访问取代传统 VPN。

configuring-windows-event-logging-for-detection

9
from killvxk/cybersecurity-skills-zh

配置 Windows 事件日志与高级审计策略,以生成高质量安全事件用于威胁检测和取证调查。 适用于为登录事件、进程创建、权限使用和对象访问启用审计策略,以支撑 SIEM 检测规则的场景。

configuring-windows-defender-advanced-settings

9
from killvxk/cybersecurity-skills-zh

配置 Microsoft Defender for Endpoint(MDE)高级防护设置,包括攻击面缩减规则、受控文件夹访问、 网络保护和漏洞利用防护。适用于在默认 Defender 设置基础上加固 Windows 端点、部署企业级端点防护 或满足高级恶意软件防御合规要求的场景。

configuring-suricata-for-network-monitoring

9
from killvxk/cybersecurity-skills-zh

部署和配置 Suricata IDS/IPS,使用 Emerging Threats 规则集、EVE JSON 日志记录和自定义规则, 进行实时网络流量检测(intrusion detection)、威胁检测,并与 SIEM 平台集成实现集中化安全监控。

configuring-snort-ids-for-intrusion-detection

9
from killvxk/cybersecurity-skills-zh

安装、配置和调优 Snort 3 入侵检测系统(intrusion detection system),使用自定义和社区规则集、 预处理器和告警输出插件,在授权网络分段上监控网络流量中的恶意活动。

configuring-pfsense-firewall-rules

9
from killvxk/cybersecurity-skills-zh

配置 pfSense 防火墙规则、NAT 策略、VPN 隧道和流量整形,以强制实施网络分段(network segmentation)、 控制流量,并保护企业及中小型企业环境中的内部网络区域。

configuring-oauth2-authorization-flow

9
from killvxk/cybersecurity-skills-zh

配置安全的 OAuth 2.0 授权流程,包括带 PKCE 的授权码流、客户端凭据和设备授权授予。本技能涵盖流程选择、PKCE 实施、令牌生命周期管理、范围设计以及符合 OAuth 2.1 安全要求。

configuring-microsegmentation-for-zero-trust

9
from killvxk/cybersecurity-skills-zh

为零信任架构配置微隔离(Microsegmentation),在应用层对工作负载之间实施最小权限访问,防止横向移动,替代传统 VLAN 分段方式。

configuring-ldap-security-hardening

9
from killvxk/cybersecurity-skills-zh

加固 LDAP 目录服务以防御常见攻击,包括凭据收集、LDAP 注入、匿名绑定和通道绑定绕过。涵盖 LDAPS 强制执行、通道绑定、LDAP 签名、访问控制列表及 LDAP 攻击监控。

configuring-identity-aware-proxy-with-google-iap

9
from killvxk/cybersecurity-skills-zh

配置 Google Cloud Identity-Aware Proxy(IAP),使用访问级别、上下文感知策略 和服务账号的程序化访问,为 Compute Engine、App Engine、Cloud Run 和 GKE 服务 强制执行每请求身份验证。

configuring-hsm-for-key-storage

9
from killvxk/cybersecurity-skills-zh

硬件安全模块(HSM)是防篡改的物理设备,在加固环境中保护密钥并执行加密操作。存储在 HSM 中的密钥永远不会离开设备边界,提供最高级别的密钥保护。