TLS 1.3握手失败-客户端报告“报头太长”
TLS 1.3是一种安全传输协议,用于在客户端和服务器之间建立安全的通信连接。握手是TLS协议中的一个重要步骤,用于协商加密算法、生成密钥并验证身份。
当客户端报告“报头太长”错误时,这意味着在TLS 1.3握手过程中发生了问题。这个错误通常是由于客户端发送的TLS握手消息中的某个报头字段超过了协议规定的长度限制所引起的。
解决这个问题的方法可能包括以下几个方面:
- 检查TLS库版本:确保使用的TLS库版本支持TLS 1.3协议,并且已经更新到最新版本。可以参考TLS库的官方文档或社区支持论坛获取更多信息。
- 检查报头字段长度:检查客户端发送的TLS握手消息中的报头字段长度是否超过了协议规定的限制。可以通过调试工具或日志来查看具体的报头字段内容和长度。
- 检查网络环境:确保网络环境稳定,并且没有任何中间设备对TLS握手消息进行修改或干扰。可以尝试在其他网络环境下进行测试,以确定是否是特定网络环境引起的问题。
- 检查证书和密钥:确保服务器端使用的证书和密钥是有效的,并且与客户端的期望相匹配。可以使用TLS证书验证工具来验证证书的有效性。
- 联系厂商支持:如果以上方法都无法解决问题,建议联系TLS库的厂商或开发者社区寻求进一步的支持和帮助。
腾讯云提供了一系列与TLS相关的产品和服务,例如SSL证书、HTTPS负载均衡等,可以帮助用户实现安全的通信连接。具体产品和服务的介绍可以参考腾讯云官方网站的相关页面。
请注意,由于要求不能提及特定的云计算品牌商,因此无法提供其他厂商的产品和服务链接。
相关·内容
我有一个使用OpenSSL的C客户机,它在使用在服务器上的SSL_do_handshake()调用期间在服务器端验证失败的证书时失败了测试。当应用程序使用TLS1.2时,服务器上的SSL_do_handshake()故障将在客户端调用SSL_do_handshake()作为失败返回值时报告给客户端。
在将我的应用程序升级到OpenSSL 1.1.1和TLS1.3时,我注意到虽然验证错误仍然发生在服务器上,但不再向客户端报告。
我知道握手协议作为TLS1.3的一部分被完全重写了,但是似乎有了所有可用的回调,我应该能够在客户端以某种方式确定身份验证失败了,而不必尝试将数据写入服务器。
有没有其他人
浏览 5提问于2020-06-18得票数 4
1回答
在openssl升级到1.1.1版本之后,我的客户机( odbc)在TLS1.2上运行,我的服务器(数据库)在TLS 1.3上运行,并且在客户端出现以下错误时失败。
"SSL握手失败原因错误:1407743E:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1警报不当回退。“
在TLS1.3文档中,默认情况下会启用回退保护,当TLS1.2客户端与TLS1.3通信时,服务器会发送用于回退保护的特殊字节。
以下是我的怀疑。--我必须在我的客户端处理这些特殊字节吗?-- TLS 1.2客户端是否需要其他处理才能与TLS 1.3服务器通信?--还是有其他原因导致
浏览 0提问于2018-10-22得票数 2
回答已采纳
这个纸解释了对TLS1.3的攻击。这份报告早在2015年TLS RFC还处于草案阶段时就已经发表了。
我的问题是TLS 1.3 RFC已经完成,这次攻击被解决了吗?
浏览 0提问于2019-10-11得票数 3
回答已采纳
当客户端在TLS 1.3版本上运行,服务器在TLS 1.2上运行时,如何选择密码?
TLS 1.3客户端提供的密码列表将与TLS 1.2服务器上支持的版本不同。
浏览 0提问于2019-04-21得票数 3
我们使用openssl 1.0.2k作为与TLS相关的功能。在我们的部署中,客户端能够使用TLSv1.2完成TLS握手,并能够向server.After发送应用程序数据,一些请求是从服务器端关闭的,错误为“错误:1408F10B:SSL routines:SSL3_GET_RECORD:wrong版本号”。
TLS握手步骤:
1. Client hello
2. Server Hello
3. Certificate,Certificate Request, Server hello done
4. Certificate,Client Key Exchange,Change Cipher s
浏览 1提问于2018-07-23得票数 0
1回答
尝试集成一些API并落地到握手失败错误中。我不知道我错在哪里。
下面是curl请求
curl -v -k --request POST --header 'Content-Type: application/xml' https://10.156.145.219:8017 --header 'Content-Type: application/xml' --data-raw '<?xml version="1.0" encoding="UTF-8"?>
<ns0:getfinancialresourc
浏览 29提问于2020-02-05得票数 0
回答已采纳
1回答
这个问题询问是否有可能将TLS会话的其余部分从握手中分离出来,这是出于“安全原因”。这个问题并没有具体说明这个“理由”可能是什么。
这使我研究了各种TLS握手,以确定是否有任何好处(DOS攻击,或密码甲骨文)将击败这种配置。
一些基础研究告诉我,存在以下握手:
SSL2.0无保护握手允许降级
典型的TLS 6步握手
TLS 1.1 RFC 4346
TLS 1.3中的1-RTT
未来版本TLS中的RTT(草案,TLS 1.3)
问题
有多少TLS握手协议变体?
上面的列表是否被认为是一种“握手”,还是可以分为主分支和子分支?(例如X是Y的一个小变体,但Z完全不同)
TLS握手的显著区别是什么?
浏览 0提问于2015-09-09得票数 4
回答已采纳
PSK手持式操作类似于TLS 1.2中的会话票证恢复,但我在TLS 1.3中为每个标识(票证)找到了一组PSK binder,为什么在TLS 1.3中需要PSK binder?来保护一些攻击?
浏览 0提问于2018-07-23得票数 2
我正在自我托管一个Nextcloud实例。我更新了很多年,一直对它很满意。我不使用对接,但托管裸金属在Debian11Bullseye系统。对于SSL,我使用的是“让我们加密”,Webserver是NGINX。硬件相当不错,16 GB内存,Xeon双核,SSD。
我发现,第一次尝试连接总是很慢。后来事情就好了。但等了几分钟,又慢了下来。
我可以用卷曲再现这种行为
$ curl -v https://cloud.example.org
* Trying 2001:....:443...
* Trying 192.168.170.11:443...
* Connected to cloud
浏览 0提问于2023-03-14得票数 0
我得到的结果只有最新支持的TLS版本( TLS 1.3),我想打印所有支持的TLs版本,如TLS 1.2,TLS 1.1等
from urllib.request import Request, urlopen, ssl, socket
from urllib.error import URLError, HTTPError
import json
#some site without http/https in the path
base_url = 'google.com'
port = '443'`enter cod
浏览 2提问于2020-11-07得票数 0
在最近的一个戊酯(Java厚客户端)中,戊酯发现TLS版本1.3不受支持。我正在研究为什么不支持TLS 1.3,所以我在Java代码中查找TLS1.3的定义。但是,有人告诉我,TLS版本与服务器本身的OpenSSL相关,因此它与Java代码无关。但在Java代码中,它们只排除了1.0和1.1等TLS的旧版本,但没有定义TLS的哪个版本。这是真的吗?
浏览 0提问于2022-05-26得票数 0
1回答
我正在尝试使用公司(内部)网站的REST服务。该系统是外包(我们不能改变它的任何东西),并使用TLS 1.3。发行人
RapidSSL Global TLS RSA4096 SHA256 2022 CA1
算法是SHA256withRSA
我已经尝试过所有可能的库,包括RestSharp、Flurl和HttpClient。传递Tls13协议作为参数。同样的问题存在于.NET核心7预览(它应该有更好的TLS支持)。
我的代码如下所示:
var options = new RestClientOptions("https://xx.xxx.com/auth/login")
{
浏览 8提问于2022-10-20得票数 3
用Tomcat和TLSv1.3实现Spring Boot MVC的一个问题 我曾经有一个Spring Boot MVC,基于Tomcat的web应用程序,具有非常简单的业务逻辑,通过ssl HTTPS。 根据安全团队的审查,我必须将TLS版本从TLSv1.2升级到TLSv1.3。 认为这很简单,可以很容易地完成这项任务,我去改变我的属性: server.ssl.enabled-protocols=TLSv1.2 至 server.ssl.enabled-protocols=TLSv1.3 然而,从那时起,我在每次应用程序启动时都会得到以下内容: org.apache.tomcat.util.
浏览 105提问于2020-10-03得票数 6
回答已采纳
在使用libcurl 7.70.0完整日志尝试使用ssl时,我会收到以下错误:
尝试::1:443...Trying 127.0.0.1:443...Connected本地主机(127.0.0.1)端口443 (#0)ALPN,提供h2ALPN,提供http/1.1successfully set证书验证locations:CAfile:././certs.pem CApath: noneTLSv1.3 (OUT),TLS握手,Client hello (1):<code>H 117</code>TLSv1.3 (IN),TLS握手,服务器hello (2):TLSv1
浏览 0提问于2020-05-24得票数 0
回答已采纳
最近,我们将更多的用户添加到我们的系统中,尽管带宽使用仍然处于正常范围,而且服务器响应处于正常范围(在tls握手之后),tls握手可能需要1到2.5秒。在这里,客户机hello和服务器hello之间的时间是1.5秒:
13:01:49.599739 * TLSv1.3 (OUT), TLS handshake, Client hello (1):
13:01:51.023274 * TLSv1.3 (IN), TLS handshake, Server hello (2):
我们正在运行nodejs 16和greenlock-express (我不认为express或greenlock与握手有
浏览 11提问于2022-11-22得票数 0
1回答
我目前正在阅读传输层安全(TLS)协议1.3版。
在第4.2.3节(签名算法)中,它说
希望服务器通过证书进行身份验证的客户端必须发送"signature_algorithms“。
是否可以在没有任何证书/身份验证的情况下建立TLS1.3会话?如果是,我如何指示openssl客户机(通过命令行)这样做?
浏览 0提问于2018-06-08得票数 1
回答已采纳
1回答
在ASP.NET核心中,有4种可用的证书模式:
// Summary:
// A client certificate is not required and will not be requested from clients.
NoCertificate,
// Summary:
// A client certificate will be requested; however, authentication will not fail
// if a
浏览 5提问于2022-09-03得票数 0
回答已采纳
3回答
目前,我正在使用HTTP1.1和HTTP/2在IIS 10上测试web应用程序。我的测试应用程序有一个端点(/api/ test ),它只返回“true”。我有3份证书:
根CA (自签名)
由根CA签名的服务器证书
由根CA签名的客户端证书
安装在Windows 2016上的根CA和服务器证书,以及配置为使用服务器证书侦听的IIS网站。此外,我将网站配置为需要客户端证书(这对我的测试非常重要,我需要服务器/客户端证书验证)。
我通过curl测试我的应用程序,对于http1.1来说,一切都很好。
命令:
curl.exe --http1.1 --get --url http
浏览 0提问于2018-09-18得票数 5
回答已采纳
2回答
请解释TLS重新谈判和恢复谈判的区别。
我的理解如下:在TLS 1.2的上下文中,重新协商和恢复看起来是一样的,但是前者可以使用服务器/客户端的HelloRequest/ClientHello启动,而后者可以从客户机的ClientHello开始。在这两种情况下,客户端-服务器对话后都会发生简短的握手(或不?),安全参数不会改变,新的密钥资料将使用新的随机数的“旧”预主秘密重新计算。
从记录层的角度来看,所有重新协商/恢复消息都应该使用“当前记录状态”来处理--这意味着它们是使用“当前”密钥加密/认证的。
重新协商可能发生在现有会话的中间,不需要“会话票证”或“会话Id”来查找“当前状态参数”,
浏览 0提问于2018-02-08得票数 3
回答已采纳
我听说TLS1.3规范包含了额外的功能,以避免防火墙和基于云的代理过滤URL类别列表。对吗?如果是这样的话,是否有任何关于如何工作的文档?
我似乎找不到任何相关的支持文档或信息。
我想知道是否可以以某种方式使用TLS 1.3来规避客户无线应用程序的web过滤;在这种情况下,企业不会拥有在来宾用户设备上实现SSL检查的授权/控制。
有什么想法?
浏览 0提问于2023-03-14得票数 0
回答已采纳
关于Spring Webflux中的Spring的一个小问题,以及在发送出站WebClient请求时如何配置TLS版本(我是客户端)。 在Webflux MVC项目(不是Webflux)中,我使用的是Webflux Webclient (可以将两者混合使用)。 我正在使用客户端调用两个外部方HTTP服务器,我完全无法控制它们。第一个服务是AliceService。Alice服务被配置为只接受TLSv1.2的请求 第二个服务是BobService。Bob服务被配置为只接受TLSV1.3类型的请求 因此,我目前面临着一个问题。我永远不能同时给他们两个打电话。 我尝试了不同的组合 -Djdk.tl
浏览 58提问于2021-04-17得票数 1
回答已采纳
2回答
我现在正在使用TLS1.3实现(OpenSSL,WolfSSL)相当长的时间,但是如果警报消息应该被加密或不加密,我在TLS1.3草案中找不到任何地方。我个人认为只有在客户端之后才会发送警报-- ServerHello将被加密,但我找不到任何证据。
浏览 0提问于2018-03-09得票数 2
1回答
首先,我正在尝试CURL托管在码头映像上的API。这是卷曲的输出,对我来说没有意义。
curl -ik -v --tlsv1.0 --cacert cfmpem.pem --key key.pem https://localhost:13443/boot/api/cfm-menu-context/?page=2
尝试:1.
TCP_NODELAY集
连接到本地主机(:1)端口13443 (#0)
提供h2
ALPN,提供http/1.1
密码选择: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTHsuccessfully s
浏览 0提问于2018-01-29得票数 0
回答已采纳
我目前正在尝试在两个本地的基于Karaf的XMLRPC服务器之间建立双向TLS1.2连接,这些服务器在设计上只接受POST请求。环境是Windows 10,两个XMLRPC服务器都运行在同一个JDK: 1.8.172中。我目前正处于客户端可以向服务器发送ClientHello的地步,但是来自服务器的答案是握手失败,Wireshark对响应的检查表明这是握手失败(40)。我理解这意味着服务器和客户端没有任何共同的密件。考虑到它们都运行在完全相同的JVM中,具有相同的java -Dhttps.protocols属性(TLSv1、TLSv1.1、TLSv1.2两端),我觉得很难相信这一点。
客户端在
浏览 0提问于2020-02-07得票数 1
我们在一个地区使用网关,来自世界各地的用户与之交互。我们还没有机会进行多区域部署,因此一些用户由于远离AWS区域而经历了大量的延迟。
我已经看到,由于单次往返握手和零次往返跟踪,TLS1.3更快。我们的服务器与应用程序(而不是浏览器)交互,因此确保所有用户都支持TLS1.3并不太困难。我很好奇,如果我们执行TLS1.3,它会加快HTTPS请求和WebSocket连接的延迟速度吗?
浏览 0提问于2020-08-04得票数 0
我一直在阅读一些文章,这些文章指出,检查代理不可能以TLS 1.2中可能的方式简单地退出/脱离TLS 1.3连接。这类文章似乎从未确切地解释过为什么会出现这种情况,例如,有些人只是简单地说“这是因为证书是加密的”。
在这个IETF 纸中,它更接近于解释,但我并不真正理解它的含义,也不明白为什么它不可能。
由于握手消息上的抄本哈希是关键派生过程的一部分,TLS1.3不支持此技术。
有人能给我解释一下吗?
谢谢
浏览 0提问于2021-03-05得票数 6
回答已采纳
我正在尝试调试到给定主机的失败连接。我已经记录了通过浏览器向此主机发出的成功请求的数据包捕获,以及通过我的Go代码发出的未成功请求的数据包捕获: package main
import (
"crypto/tls"
"log"
)
func main() {
log.SetFlags(log.Lshortfile)
conf := &tls.Config{
//InsecureSkipVerify: true,
MinV
浏览 61提问于2021-10-28得票数 0
回答已采纳
1回答
如果运行:
cat index.html | nc --ssl --broker --keep-open -l 443
在客户端,浏览器继续尝试连接,但没有成功。我是说,html页面不加载。
此外,卷曲输出是:
curl -v -k https://10.0.3.226/index.html
* Trying 10.0.3.226:443...
* TCP_NODELAY set
* Connected to 10.0.3.226 (10.0.3.226) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* s
浏览 0提问于2019-10-30得票数 0
1回答
在TLS1.3草案(28)中遵循基本键的意义是什么?
server_handshake_traffic_secret
client_handshake_traffic_secret
client_application_traffic_secret_N
据我所知
server_handshake_traffic_secret应该是私钥,使用该私钥获取证书。
client_handshake_traffic_secret ??
client_application_traffic_secret_N应该是在握手后建立的对称密钥,其中N表示握手后密钥中的上一级键数。
请建议对client_hands
浏览 0提问于2018-03-30得票数 0
TLS1.3的握手消息与1.2 (及更早版本)有一点不同。客户端应该在第一个客户端Hello消息中直接发送DH参数。浏览器如何知道是否应该这样做呢?如果服务器支持1.2顶,而不支持1.3呢?
浏览 0提问于2022-04-12得票数 0
回答已采纳
1回答
TLS握手失败,但通信未关闭
、、、、
我有TLS程序,我在上面做了一些实验。
我启动机密TLS服务器会话并尝试使用纯Telnet客户端连接到它。
正如预期的那样,握手失败,服务器可供下一个客户端使用,但在Telnet客户端,我没有收到任何表示握手失败和服务器正在接受其他客户端的指示。我可以在Wireshark中看到,即使握手失败,Telnet客户端也可以发送字符串;我可以看到PSH、ACK来自由ACK从服务器应答的客户端。
添加Wireshark快照后,Telnet握手失败,Telnet继续发送消息,随后在TLS握手和更多Telnet消息中获得成功:
如果握手失败,而他正在接受其他客户端,为什么服务器ACKing是Tel
浏览 6提问于2021-06-09得票数 0
回答已采纳
在TLS 1.2握手中,在检查证书之后,使用证书中的公钥对数据进行加密以创建对称加密密钥,因此身份验证是根据知道私钥的因素进行的,因为需要对该数据进行解密。
在TLS 1.3中,公钥不能用于加密创建对称加密密钥所需的数据,因为该数据包含在客户端发送的第一条消息中,而且客户端在接收服务器响应第一条消息发送的证书之前无法知道公钥。
由于公钥不用于加密生成对称加密密钥或任何其他数据所需的数据,因此私钥知识因素将消失。
TLS 1.3是如何提供身份验证的?如果不使用公钥来验证当事人是否拥有私钥,那么使用PKI和公钥证书的目的是什么?
浏览 0提问于2022-11-07得票数 0
回答已采纳
1回答
了解TLS 1.2和TLS 1.3之间的区别。我停留在过去对TLS的理解和目前我正在学习的参考资料中:
如我所知,证书与所有者的公钥一起使用,它的公钥用于客户端和服务器之间的密钥交换,以生成长期的预共享密钥。
但是,当我查看TLS1.2中的阶段服务器密钥交换生成时,我对这种理解感到困惑。
它说,从服务器导出用于密钥交换的公钥不是附加密钥,而是从随机数2^{256} -1派生的新公钥作为私钥。
哪一个是对的?我在不同的参考文献中都听说过这两种情况。另外,这也让我提出了另一个关于通过证书预防中间人攻击的问题如下:
如果用户的浏览器被篡改,欺骗DNS解析器,这会返回假服务器的IP地址,该地址与从真实
浏览 0提问于2018-12-26得票数 0
回答已采纳
我正在研究TLS1.3实现,并对HKDF函数中引用的内容感到有点困惑。特别是Dervice_Secret包装器函数中的最后一个参数。来自RFC 8446:
PSK -> = Early Secret
|
+-----> Derive-Secret(., "ext binder" | "res binder", "")
| = binder_key
|
+----
浏览 0提问于2021-04-01得票数 0
回答已采纳
我支持用Apache4.0(VisualStudio2010)构建的.Net应用程序,它将连接到各种web服务到我们的Apache服务器上。由于Poodle错误,这些服务器上已经禁用了SSL3。应用程序的更新版本使用启用了TLS的WebClient类,可以成功连接:
using (var client = new WebClient())
{
ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls;
client.DownloadString(uri);
}
然而,我们的客户并没有停留在Windows
浏览 2提问于2014-10-22得票数 4
回答已采纳
https://dnscrypt.info/faq/声明DNS在HTTPS上和DNS在TLS上的状态。
向解析器操作员提供比常规DNS更多的信息,以便对客户端进行指纹识别。
怎么会这样呢?
浏览 0提问于2020-07-29得票数 1
回答已采纳
我正在尝试使用高级REST客户机6.7.2访问6.xES实例。访问这个ES实例是通过主机名()、用户名和密码提供给我的。
我的Spring应用程序在从我的开发环境(IDE)运行时从相同的ES中获得数据,但是当我尝试从Docker容器(从我的开发机器或云中的K8s集群)运行它时,它就会抛出它。
容器由基本映像组成:FROM debian:stretch-slim和OpenJDK 11.0.2,带有Spring必需的模块。
我在使用-Djavax.net.debug=all进行调试时取得了一些进展。原来,在docker映像中运行时,通常只发生几个SSL握手的第一步:
Produced Client
浏览 0提问于2019-06-10得票数 1
我目前正在阅读传输层安全(TLS)协议1.3版。
在4.3.1节(加密扩展)中,它说
在所有握手中,服务器必须在EncryptedExtensions消息之后立即发送ServerHello消息。这是在从server_handshake_traffic_secret派生的密钥下加密的第一条消息。
server_handshake_traffic_secret究竟是如何计算出来的?它是从哪里来的?
我试图找出服务器中的所有应用程序--数据(例如证书)--hello是如何加密的。
它应该与香港发展基金-提取函数有关。在client-hello中有一个随机字节字符串和一个填充的密钥交换扩展。我假设在服
浏览 0提问于2018-04-27得票数 2
TLS 1.3指定了以下三个密匙:
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
它们都具有认证密码模式和哈希算法的特点。这些措施的目的是甚麽?
浏览 0提问于2019-03-15得票数 6
回答已采纳
出于客户支持的目的,我想检查在API请求中使用了哪个TLS版本。我使用cURL编写了一个php脚本来向发送请求,答案是“TLS1.3”。我用VERBOSE=true记录了相同的请求,并在这个输出中找到了"TLSv1.2“。
那怎么可能呢?
cURL回应:
{"given_cipher_suites":["TLS_AES_256_GCM_SHA384","TLS_CHACHA20_POLY1305_SHA256","TLS_AES_128_GCM_SHA256","TLS_ECDHE_ECDSA_WITH_AES_2
浏览 10提问于2022-11-09得票数 0
1回答
最近,我一直在评估基于物联网的项目的不同API网关(API GW)选项。这样做的目的是为执行设备和API的交互TLS (mTLS)身份验证找到一个足够好的解决方案。
我尝试过的大多数解决方案似乎都是在TLS握手时以的形式执行。这就是我所理解的OSI第4层(TCP/IP)身份验证方法。
然而,似乎在OSI第7层(应用程序)上这样做。基本上,在TLS握手阶段没有客户端auth,而是应用层验证对等证书。因此,它能够发送带有401状态和一些有效负载的响应(如果TLS握手失败,这是不可能的)。示例
√ poc-mtls-local-env % make test-fail-wrong-cert
浏览 5提问于2021-08-10得票数 1
回答已采纳
首先,我想说我不是网络或Wireshark方面的专家,但我确实有web开发方面的背景,特别是.net和iis/windows服务器。
我正试图在服务器的密码套件中添加几个密码。这是因为我连接到的服务器给他们做了一个补丁,并要求人们用这些密码连接到他们。当我连接到它们时,我目前正在得到一个TLS握手失败。
📷
这些是我需要的:
ECDHE-RSA-AES128-GCM-SHA256(OpenSSL) - TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ECDHE-RSA-AES256-GCM-SHA384(OpenSSL) - TLS_ECDHE_RSA_WITH_
浏览 0提问于2019-10-28得票数 5
回答已采纳
1回答
在使用TLS 1.2时,是否有任何方法来防止版本回滚攻击(除了禁用较低版本之外)?我读过关于TLS1.3如何提供降级保护机制的文章,该机制嵌入了服务器的随机当前版本。TLS 1.2中是否有这样的机制?
浏览 0提问于2022-04-26得票数 1
回答已采纳
我遇到了以下问题:浏览器向服务器发送CORS请求--此服务器需要客户端SSL/TLS身份验证(因此,服务器和客户端都应该交换证书)。服务器位于与加载到客户端的页面不同的域上,因此它需要一个CORS请求。
问题1: IE11中止具有双向SSL/TLS认证的飞行前请求
解决方案1:使请求‘本地’并设置一个apache (使用RewriteRule --但它没有通过客户端的证书,然后使用代理通行证--但它也没有通过客户端的证书)。
问题2:客户端的证书不是通过重写规则和代理通行证传递的。
问题是:是否有任何方法可以通过apache代理传递客户端的证书?(根本不改变服务器的API )。
PS:我读过很
浏览 0提问于2016-06-09得票数 0
回答已采纳
1回答
我知道在TL1.3中可以使用RSASSA-PKCS1-v1_5和客户端证书。但反过来又如何:在TLS 1.2中使用RSASSA和客户端证书呢?
是否可以使用带有TLS 1.2的RSASSA签名证书?我必须在握手时回到RSASSA-PKCS1-v1_5吗?
我在RFC5246上搜索,但是找不到任何能回答我问题的东西。
浏览 0提问于2020-08-10得票数 5
回答已采纳
1回答
服务器如何使用证书私钥在TLS 1.3中创建证书验证消息?以及客户端如何使用证书公钥来验证握手是否被修改?只是在TLS 1.3,而不是TLS 1.2
浏览 0提问于2019-03-25得票数 0
回答已采纳
1回答
我想用wireshark捕获一个示例SSL流量,它的版本是TLS1.3(最新版本)。我在chrome浏览器中启用了TLS1.3(Draft23)标志,并将我的wireshark更新到了2.6.2版本。
然后,我开始打开一些网站,比如和,它们支持这个版本,并捕获流量。
但是当我打开捕获的流量时,SSL报头的版本是TLS1.0或TLS1.3,而在窗口顶部的协议部分,显示的是TLSv1.3。
浏览 25提问于2018-08-05得票数 0
我们需要对只接受TLS 1.3连接的服务器执行基于证书的客户端身份验证。服务器正在使用Apache 2和HTTP1.1,并且配置为允许client,而不是强制执行它,因为一些资源需要客户端auth,而其他资源则不需要。
我们在Android11上使用OkHttp 4.9.1来执行调用,我们遵循关于如何执行客户端auth:的标准文档
然而,服务器的回复是: 403 (不允许重新协商)
这符合TLS1.3规范,除非在初始握手中同意,否则不允许第四次更改。
到目前为止,我们已经调试了连接,并在OkHttp内部调试了类RealConnection,它实际上执行握手,而无需协商客户端证书。
到目前为止,
浏览 29提问于2021-06-25得票数 1
回答已采纳
首先,我知道由于SSL Library Error: error:0A000126:SSL routines::unexpected eof while reading 3重新引入了一个防止截断攻击的特性而产生的OpenSSL错误。
我的问题是,当我通过PHP从报告错误的服务器进行curl调用时,为什么会看到这个错误?
我正在运行RockyLinux9.1,PHP8.0.27,并拥有OpenSSL 3.0.1 (最新版本可用)。我还不能通过dnf模块升级到PHP8.1,因为还没有为该版本提供的库。
由于我正在从服务器发出一个curl调用到它自己,人们会认为,如果它已经足够及时地识别错误,那么它
浏览 0提问于2023-03-19得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
