configuring-tls-1-3-for-secure-communications
TLS 1.3(RFC 8446)是传输层安全协议的最新版本,在安全性和性能方面相比 TLS 1.2 有显著改进,将握手延迟降低至 1-RTT,移除了过时的密码套件并强制要求完美前向保密。
Best use case
configuring-tls-1-3-for-secure-communications is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
TLS 1.3(RFC 8446)是传输层安全协议的最新版本,在安全性和性能方面相比 TLS 1.2 有显著改进,将握手延迟降低至 1-RTT,移除了过时的密码套件并强制要求完美前向保密。
Teams using configuring-tls-1-3-for-secure-communications should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/configuring-tls-1-3-for-secure-communications/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How configuring-tls-1-3-for-secure-communications Compares
| Feature / Agent | configuring-tls-1-3-for-secure-communications | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
TLS 1.3(RFC 8446)是传输层安全协议的最新版本,在安全性和性能方面相比 TLS 1.2 有显著改进,将握手延迟降低至 1-RTT,移除了过时的密码套件并强制要求完美前向保密。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 配置 TLS 1.3 实现安全通信 ## 概述 TLS 1.3(RFC 8446)是传输层安全协议的最新版本,在安全性和性能方面相比 TLS 1.2 有显著改进。它将握手延迟降低至 1-RTT(会话恢复时为 0-RTT),移除了过时的密码套件,并强制要求完美前向保密(PFS)。本技能涵盖在服务器上配置 TLS 1.3、验证配置以及测试常见错误配置。 ## 目标 - 在 nginx 和 Apache Web 服务器上配置 TLS 1.3 - 使用 Python ssl 模块在应用程序中实施 TLS 1.3 - 使用 openssl 和 testssl.sh 验证 TLS 配置 - 了解 TLS 1.3 密码套件和密钥交换机制 - 配置具有适当保护的 0-RTT 早期数据 - 禁用旧版 TLS(1.0、1.1)和弱密码套件 ## 核心概念 ### TLS 1.3 密码套件 | 密码套件 | 密钥交换 | 认证 | 加密 | 哈希 | |-------------|-------------|----------------|------------|------| | TLS_AES_256_GCM_SHA384 | ECDHE/DHE | 证书 | AES-256-GCM | SHA-384 | | TLS_AES_128_GCM_SHA256 | ECDHE/DHE | 证书 | AES-128-GCM | SHA-256 | | TLS_CHACHA20_POLY1305_SHA256 | ECDHE/DHE | 证书 | ChaCha20-Poly1305 | SHA-256 | ### TLS 1.3 vs 1.2 改进 - **1-RTT 握手**:完整握手在一个往返内完成(TLS 1.2 需要 2 个) - **0-RTT 恢复**:恢复连接可立即发送数据 - **无 RSA 密钥交换**:仅使用临时 Diffie-Hellman(强制 PFS) - **简化密码套件**:移除了 CBC、RC4、3DES、静态 RSA、SHA-1 - **加密握手**:服务器证书在 ServerHello 之后加密传输 ### 密钥交换组 - **x25519**:Curve25519 ECDH(首选,速度快) - **secp256r1**:NIST P-256 ECDH(广泛支持) - **secp384r1**:NIST P-384 ECDH(更高安全裕度) - **x448**:Curve448 ECDH(最高安全性) ## 实施步骤 1. 验证 OpenSSL 版本支持 TLS 1.3(1.1.1 及以上) 2. 生成或获取 TLS 证书和私钥 3. 配置服务器使用 TLS 1.3 密码套件 4. 禁用 TLS 1.0 和 1.1(可选保留 1.2 以兼容旧版) 5. 设置首选密钥交换组 6. 启用 OCSP stapling 进行证书验证 7. 使用 openssl s_client 和 testssl.sh 测试配置 8. 配置 HSTS 头部实现 HTTP 严格传输安全 ## 安全注意事项 - 0-RTT 数据容易受到重放攻击;限制为幂等请求 - 如需支持旧版客户端,始终包含 TLS 1.2 回退 - 使用 ECDSA 证书获得更好性能(相比 RSA) - 启用 OCSP stapling 以改进客户端证书验证 - 将 HSTS 头部设置较长的 max-age 并包含 includeSubDomains - 监控证书透明度日志 ## 验证标准 - [ ] TLS 1.3 握手成功完成 - [ ] 仅提供已批准的密码套件 - [ ] 完美前向保密得到执行 - [ ] TLS 1.0 和 1.1 被拒绝 - [ ] OCSP stapling 正常工作 - [ ] 证书链有效且完整 - [ ] testssl.sh 未报告漏洞
Related Skills
exploiting-insecure-deserialization
在授权渗透测试中识别并利用 Java、PHP、Python 和 .NET 应用程序中的不安全反序列化漏洞以实现远程代码执行。
configuring-zscaler-private-access-for-ztna
配置 Zscaler Private Access(ZPA),通过部署 App Connector、定义应用程序段、 基于用户身份和设备态势配置访问策略以及与 IdP 集成,以零信任网络访问取代传统 VPN。
configuring-windows-event-logging-for-detection
配置 Windows 事件日志与高级审计策略,以生成高质量安全事件用于威胁检测和取证调查。 适用于为登录事件、进程创建、权限使用和对象访问启用审计策略,以支撑 SIEM 检测规则的场景。
configuring-windows-defender-advanced-settings
配置 Microsoft Defender for Endpoint(MDE)高级防护设置,包括攻击面缩减规则、受控文件夹访问、 网络保护和漏洞利用防护。适用于在默认 Defender 设置基础上加固 Windows 端点、部署企业级端点防护 或满足高级恶意软件防御合规要求的场景。
configuring-suricata-for-network-monitoring
部署和配置 Suricata IDS/IPS,使用 Emerging Threats 规则集、EVE JSON 日志记录和自定义规则, 进行实时网络流量检测(intrusion detection)、威胁检测,并与 SIEM 平台集成实现集中化安全监控。
configuring-snort-ids-for-intrusion-detection
安装、配置和调优 Snort 3 入侵检测系统(intrusion detection system),使用自定义和社区规则集、 预处理器和告警输出插件,在授权网络分段上监控网络流量中的恶意活动。
configuring-pfsense-firewall-rules
配置 pfSense 防火墙规则、NAT 策略、VPN 隧道和流量整形,以强制实施网络分段(network segmentation)、 控制流量,并保护企业及中小型企业环境中的内部网络区域。
configuring-oauth2-authorization-flow
配置安全的 OAuth 2.0 授权流程,包括带 PKCE 的授权码流、客户端凭据和设备授权授予。本技能涵盖流程选择、PKCE 实施、令牌生命周期管理、范围设计以及符合 OAuth 2.1 安全要求。
configuring-microsegmentation-for-zero-trust
为零信任架构配置微隔离(Microsegmentation),在应用层对工作负载之间实施最小权限访问,防止横向移动,替代传统 VLAN 分段方式。
configuring-ldap-security-hardening
加固 LDAP 目录服务以防御常见攻击,包括凭据收集、LDAP 注入、匿名绑定和通道绑定绕过。涵盖 LDAPS 强制执行、通道绑定、LDAP 签名、访问控制列表及 LDAP 攻击监控。
configuring-identity-aware-proxy-with-google-iap
配置 Google Cloud Identity-Aware Proxy(IAP),使用访问级别、上下文感知策略 和服务账号的程序化访问,为 Compute Engine、App Engine、Cloud Run 和 GKE 服务 强制执行每请求身份验证。
configuring-hsm-for-key-storage
硬件安全模块(HSM)是防篡改的物理设备,在加固环境中保护密钥并执行加密操作。存储在 HSM 中的密钥永远不会离开设备边界,提供最高级别的密钥保护。