SQL Server TLS 1.2 通信真的加密了吗？

Question

我正在编写一个与 SQL Server 连接的 VB6 应用程序。为了保护与数据库的连接，我使用 MSOLEDBSQL 作为支持 TLS 1.2 的提供程序。我还在我的机器上启用了 TLS 1.2。我使用 sys.validation 验证了连接状态。 dm_exec_connections 和 SQL server 显示所有的连接都是加密的。为了双重确认，我尝试使用 echomirage 检查流量，结果令人惊讶。数据未加密，我可以读取所有数据流，如下图所示。我的问题是

1. 此通信确实是加密的。如果不是，为什么我在 SQL Server 中看到不同的状态
2. 我在某处读到 TCP 是二进制协议。如果是这样，为什么即使此通信未加密，我也会看到纯文本？

Answer 1

这不是 TDS 问题（SQL Server 使用的协议）。当您使用 Fiddler 之类的调试代理并信任该代理的证书或将其配置为使用受信任的证书时，您的浏览器也会发生同样的情况。很可能，您在设置期间或通过其设置信任 EchoMirage 的证书而忘记了它。

SSL/TLS 通过证书验证另一方来防止Man-In-The-Middle 攻击。加密是不够的。在没有验证的情况下，客户端和服务器之间的代理可以伪装成另一方，与每一方建立加密通信，解密它接收到的数据包，检查它们，然后使用另一方的密钥再次加密它们并发送它们。如果没有验证，客户端和服务器都不会知道有人拦截了连接。

使用 SSL/TLS，只有在双方信任彼此的证书时才建立连接。双方通过检查证书是否被明确信任或是否由应用程序信任的证书颁发机构颁发来验证证书。如果验证失败，连接也会失败。

Fiddler、WireShark 和其他类似工具通过充当代理并使用其证书在任一端建立通信来解密流量。但是，启用证书验证后，浏览器（或 SQL Server 客户端）将拒绝连接。如果您在使用 Fiddler 时尝试通过 HTTPS 连接到网站，您会收到一个红色警告页面，提示您连接不安全。

要允许此类连接，必须有人去明确信任该工具的证书。所有工具都可以通过它们的设置来做到这一点，但所有操作系统都需要在将证书添加到其受信任列表之前进行权限提升和用户确认。

默认情况下，驱动程序和网络库执行验证。要允许 WireShark 拦截 SQL Server 连接，您必须明确禁用 TrustServerCertificate=true; 验证，或者信任该工具的证书，这可能是您已经做过但忘记的事情。

文档中的页面Using Encryption Without Validation in SQL Server Native Client 解释了当您不使用验证时会发生什么，并发出警告。

如果您使用Encrypt=true 并将TrustServerCertificate 保留为默认值，false、WireShark 或 EchoMirage 将无法拦截，更不用说解密流量了。在这种情况下：

只有在存在可验证的服务器证书时才会进行加密，否则连接尝试会失败。