Transport Layer Security (TLS) 協議加密了網絡連接以保護敏感數據。然而,它也可能成為故障排查中必須考慮的一個因素。在本篇文章中,我們將探討TLS握手失敗的原因和方法,並給出相關代碼示例。
一、缺少證書
在TLS握手中,服務器和客戶端都需要證書。如果其中一方未提供證書,會發生握手失敗。證書錯誤可能有多種不同的原因。
服務器證書過期或未簽署頒發者的根證書,客戶端會認為無法驗證和信任該證書,從而拒絕對其進行連接。一種可能的解決方案是獲取新的證書或更新證書。
當客戶端接收到證書鏈時,它會嘗試在受信任的證書頒發機構(CA)列表中查找匹配的CA,如果找不到,就會返回“未知的CA”的錯誤。為避免這種情況,開發人員需要確保使用公認的CA,這樣客戶端就能成功驗證服務器的證書。另外,開發人員也可以在程序代碼中將這些CA添加到信任列表中。
const SSL_CA_CERT_FILE = "ca-cert.pem";
$context = stream_context_create();
stream_context_set_option($context, 'ssl', 'cafile', SSL_CA_CERT_FILE);
二、Ciphersuite問題
TLS協議會協商雙方連接使用的加密套件,因此服務器和客戶端必須支持共同的加密算法、密鑰協商算法和摘要算法,否則TLS握手就無法成功。
如果服務器未啟用客戶端請求的加密套件,則客戶端將無法與服務器進行TLS握手。在這種情況下,可以在服務器上啟用所需的加密套件或控制代碼以使用受服務器支持的套件。
如果服務器/客戶端啟用了過時的加密套件,可能存在安全風險。因此,開發人員必須遵循最佳實踐,使用經過國際認可的加密套件。
const SSL_CIPHERS = "AES128-SHA256";
$context = stream_context_create();
stream_context_set_option($context, 'ssl', 'ciphers', SSL_CIPHERS);
三、證書鏈問題
服務器證書鏈可能與CA的頒發機構不匹配,這可能會導致TLS握手失敗。在這種情況下,客戶端會收到“證書鏈不完整”的錯誤消息。
通常,服務器證書應包括與由客戶端信任的根證書相匹配的中間CA證書。如果中間證書已過期,則需要更新證書。如果客戶端自己使用私有CA,開發人員可以選擇在代碼中提供相應的證書鏈。
const SSL_CERTFILE = "server.pem";
const SSL_CHAINFILE = "ca.pem";
$context = stream_context_create();
stream_context_set_option($context, 'ssl', 'local_cert', SSL_CERTFILE);
stream_context_set_option($context, 'ssl', 'local_pk', SSL_KEYFILE);
stream_context_set_option($context, 'ssl', 'verify_peer', true);
stream_context_set_option($context, 'ssl', 'verify_peer_name', true);
stream_context_set_option($context, 'ssl', 'verify_depth', 5);
stream_context_set_option($context, 'ssl', 'cafile', SSL_CHAINFILE);
四、TLS版本
最後一個常見的TLS握手失敗的原因是支持的TLS版本不匹配。TLS 1.1和TLS 1.2已由許多瀏覽器和服務器使用。如果服務器不支持2個版本的TLS,客戶端將無法與該服務器建立安全連接。
開發人員必須確定服務器是否支持與客戶端請求的TLS版本。如果客戶端支持TLS 1.2和TLS 1.3而服務器不支持,則為了保證安全性,應考慮升級服務器TLS版本。
const SSL_TLSVERSION = STREAM_CRYPTO_METHOD_TLSv1_2_SERVER
$context = stream_context_create();
stream_context_set_option($context, 'ssl', 'crypto_method', SSL_TLSVERSION);
總結
在本文中,我們探討了TLS握手失敗的原因和解決方案。缺少證書、Ciphersuite問題、證書鏈問題和TLS版本可能會導致TLS連接失敗。開發人員應努力確保服務器和客戶端都安裝且支持TLS配置正確,以便更好的應用程序安全性和性能。
原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-hant/n/258611.html
微信掃一掃 
支付寶掃一掃 