Estoy trabajando bastante tiempo con las implementaciones de TLS 1.3 (OpenSSL, WolfSSL), pero no puedo encontrar en ninguna parte de los borradores de TLS 1.3 si los mensajes de alerta deben estar encriptados o no. Personalmente pensé que solo se enviarían las alertas después de que el Cliente y ServerHello se cifraran, pero no pude encontrar ninguna prueba de esto.
La situación en TLS 1.3 con respecto al cifrado de alertas no es diferente a la de TLS 1.2. El borrador actual 26 incluye la misma declaración que puede encontrar en el RFC de TLS 1.2:
Al igual que otros mensajes, los mensajes de alerta se cifran como especificado por el estado de conexión actual .
En Apéndice A también encontrará los diagramas de estado que tienen Información adicional:
... los clientes pueden enviar alertas que se derivan de mensajes post-ServerHello en claro o con las primeras claves de datos. Si los clientes necesitan enviar tales alertas, DEBE primero cambiar la clave a las claves del protocolo de enlace si es posible.
Lea otras preguntas en las etiquetas encryption tls protocols