Strona główna / Security / TLS 1.3 jako domyślny
Security Średniozaawansowany

TLS 1.3 jako domyślny

TLS 1.3 jest domyślnie włączony — nie potrzeba jawnej konfiguracji protokołu.

Porównanie kodu
✕ Java 8 
SSLContext ctx =
    SSLContext.getInstance("TLSv1.2");
ctx.init(null, trustManagers, null);
SSLSocketFactory factory =
    ctx.getSocketFactory();
// Must specify protocol version
✓ Java 11+ 
// TLS 1.3 is the default!
var client = HttpClient.newBuilder()
    .sslContext(SSLContext.getDefault())
    .build();
// Already using TLS 1.3
Widzisz problem z tym kodem? Daj nam znać.
Dlaczego nowoczesne podejście wygrywa
🛡️

Bezpieczniejszy

TLS 1.3 usuwa przestarzałe zestawy szyfrów i wzorce uzgadniania.

Szybsze uzgadnianie

TLS 1.3 kończy się w jednej rundzie zamiast dwóch.

🆓

Zero konfiguracji

Bezpieczny domyślnie — nie potrzeba jawnego wyboru protokołu.

Stare podejście
Ręczna konfiguracja TLS
Nowoczesne podejście
Domyślny TLS 1.3
Od JDK
11
Poziom trudności
Średniozaawansowany
Wsparcie JDK
TLS 1.3 jako domyślny
Dostępne

Szeroko dostępne od JDK 11 (wrzesień 2018)

Jak to działa

Java 11 dodała obsługę TLS 1.3 i uczyniła go preferowanym protokołem. HttpClient używa go automatycznie. Koniec z ręcznym podawaniem wersji protokołu dla bezpiecznych połączeń.

Powiązana dokumentacja
SSLContext ↗ Java Security Guide ↗
Dowód
Zobacz źródło dowodu ↗
Powiązane wzorce
Security Zaawansowany

PEM encoding/decoding

Java 8
String pem = "-----BEGIN CERTIFICATE-----\n"
    + Base64.getMimeEncoder()
        .encodeToString(
            cert.getEncoded())
    + "\n-----END CERTIFICATE-----";
Java 25 (Preview)
// Encode to PEM
String pem = PEMEncoder.of()
    .encodeToString(cert);
// Decode from PEM
var cert = PEMDecoder.of()
    .decode(pemString);
Najedź, aby zobaczyć nową wersję ➜
JDK 25+
Security Zaawansowany

Key Derivation Functions

Java 8
SecretKeyFactory factory =
    SecretKeyFactory.getInstance(
        "PBKDF2WithHmacSHA256");
KeySpec spec = new PBEKeySpec(
    password, salt, 10000, 256);
SecretKey key =
    factory.generateSecret(spec);
Java 25
var kdf = KDF.getInstance("HKDF-SHA256");
SecretKey key = kdf.deriveKey(
    "AES",
    KDF.HKDFParameterSpec
        .ofExtract()
        .addIKM(inputKey)
        .addSalt(salt)
        .thenExpand(info, 32)
        .build()
);
Najedź, aby zobaczyć nową wersję ➜
JDK 25+
Security Początkujący

Strong random generation

Java 8
// Default algorithm — may not be
// the strongest available
SecureRandom random =
    new SecureRandom();
byte[] bytes = new byte[32];
random.nextBytes(bytes);
Java 9+
// Platform's strongest algorithm
SecureRandom random =
    SecureRandom.getInstanceStrong();
byte[] bytes = new byte[32];
random.nextBytes(bytes);
Najedź, aby zobaczyć nową wersję ➜
JDK 9+