"TLS 1.3 的 0-RTT：性能收益与重放风险控制"

概述TLS 1.3 引入 0-RTT（早期数据）可在会话恢复时消除握手延迟，提升对延迟敏感应用的性能。但 0-RTT 存在非前向保密与跨连接重放风险，需要以幂等与策略约束进行防护。安全属性与风险0-RTT 数据不具备前向保密，仅依赖 PSK 派生的密钥加密；存在跨连接重放风险［参考1,5］。服务器需实现重放限制与票据管理；应用层需确保即使被重放也安全，最低要求是幂等（例如只允许 GET/HEAD）［参考1,5］。工程实践建议仅对幂等请求启用 0-RTT；禁止对状态变更与支付等敏感操作使用 0-RTT。结合服务器的会话票据有效期与群集同步，降低跨集群重放风险；无法保证时回退至 1-RTT［参考5］。云服务开关：按照提供商指引启用/禁用/仅恢复模式（如 Cloudflare 的 `zrt`），并评估真实延迟收益与安全影响［参考3］。参考与验证［参考1］RFC 8446 中文：0-RTT 的弱安全属性与重放风险说明：https://rfc2cn.com/rfc8446.html［参考2］MDN：TLS 1.3 的 0-RTT 性能与重放风险、部署注意事项：https://developer.mozilla.org/zh-CN/docs/Web/Security/Transport_Layer_Security［参考3］Cloudflare：TLS 1.3 设置（含 0-RTT `zrt` 选项）：https://support.cloudflare.com/hc/zh-cn/articles/227172348-了解-TLS-1-3［参考4］技术博客：TLS 1.3 握手优化与 0-RTT 概述（抓包与流程）：https://www.h0u5er.com/tls1-3/［参考5］TLS 1.3 安全属性综述（0-RTT 重放控制、幂等要求）：https://halfrost.com/tls_1-3_security_properties/关键词校验关键词围绕 0-RTT 的性能与安全取舍，与正文一致。