【问题标题】:Difference between captured TLS handshakes捕获的 TLS 握手之间的差异
【发布时间】:2020-07-18 21:37:17
【问题描述】:

我正在尝试了解 TLS。我捕获了从浏览器到各个站点的通信。我试图用谷歌搜索,但找不到任何东西来解释为什么在某些捕获中我有“证书状态”,但服务器回复中的“证书”除外。 请查看屏幕截图以更好地理解我所指的内容。

简而言之,我的问题是 - 为什么有时有些服务器不仅回复证书,还回复证书状态,而其他服务器只回复证书?

[在屏幕截图上是与 3 个不同站点的通信。其中2个有证书状态,1个没有证书状态-请关注通信中标有红色部分] https://i.stack.imgur.com/7Ezpw.png

[我在所有通信中都发现了 status_request 扩展,但不是在任何地方都以证书状态回答它:] https://i.stack.imgur.com/Dxp4b.png

【问题讨论】:

    标签: ssl handshake


    【解决方案1】:

    您可能需要检查客户端的 TLS 扩展,以查看客户端是否向服务器请求了 OCSP 状态。您可以在此 RFC 中找到有关扩展的更多详细信息:https://www.rfc-editor.org/rfc/rfc6066

    【讨论】:

    • 和 rfc6961 中的 v2。注意 TLS1.3 对此进行了更改:OCSP 虽然仍然是可选的,但现在作为扩展名包含在证书消息中,而不是单独的消息。
    • 您好 user3224083,谢谢您的回答。我阅读了有关 status_request 扩展的信息,但这在两种通信中都有。在“Client Hello”中,我发现扩展名为“status_request”,证书状态类型为:OCSP(1)。尽管有 1 台服务器回复证书和证书状态,而另一台服务器只回复证书。我编辑并附加了第二个屏幕截图,以便您查看扩展名。
    • @xyz 我认为这可能与 RFC (tools.ietf.org/html/rfc6066#section-8) 中的措辞有关:本质上,服务器不需要遵守 status_request。请注意 RFC 中使用 MAY 一词来描述服务器在收到 status_request 时需要什么。
    • @xyz RFC 第 8 节的参考资料是否有助于您了解服务器行为的差异?另外,如果答案对您的问题给出了充分的解释,您会接受这个答案吗?这是处理帖子中答案/cmets 的一般指南。 stackoverflow.com/help/someone-answers
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2012-06-11
    • 2016-03-21
    • 1970-01-01
    • 2021-09-12
    • 1970-01-01
    • 1970-01-01
    • 2022-06-30
    相关资源
    最近更新 更多