TLS 1.3は警告メッセージを暗号化しますか？

Question

私はかなり長い間TLS 1.3実装（OpenSSL、WolfSSL）で作業していますが、アラートメッセージを暗号化する必要があるかどうか、TLS 1.3ドラフトのどこにも見つかりません。私は個人的に、ClientHelloとServerHelloが暗号化された後に送信されるのはアラートだけだと思っていましたが、その証拠は見つかりませんでした。

Steffen Ullrich · Answer

アラートの暗号化に関するTLS 1.3の状況は、TLS 1.2の場合と変わりません。現在のドラフト26 には、TLS 1.2のRFCにあるのと同じステートメントが含まれています。

他のメッセージと同様に、アラートメッセージは暗号化されます現在の接続状態で指定されたとおり。

付録A には、追加情報を含む状態図もあります。

...クライアントは、ポストServerHelloメッセージから派生したアラートをクリアテキストで、または初期のデータキーとともに送信できます。クライアントがそのようなアラートを送信する必要がある場合、可能であれば、最初にハンドシェイクキーに鍵を再設定する必要があります。