Fatal编程技术网
  • nginx/
  • nginx TLSv1.3冗余握手后会话票证?

nginx TLSv1.3冗余握手后会话票证?

nginx ssl

nginx TLSv1.3冗余握手后会话票证?,nginx,ssl,tls1.3,Nginx,Ssl,Tls1.3,因此,我在nginx中使用TLSv1.3,在使用curl和openssl进行测试期间,我看到了以下模式: curl-vhttps://domain-using-tls2: ... <request headers> > * TLSv1.2 (IN), TLS handshake, Newsession Ticket (4): * Connection state changed (MAX_CONCURRENT_STREAMS == 128)! < HTTP/2 200 &

因此,我在nginx中使用TLSv1.3,在使用
curl
openssl
进行测试期间,我看到了以下模式:

curl-vhttps://domain-using-tls2

...
<request headers>
>
* TLSv1.2 (IN), TLS handshake, Newsession Ticket (4):
* Connection state changed (MAX_CONCURRENT_STREAMS == 128)!
< HTTP/2 200
<response headers>
...
使用
openssl s_client-connect domain-using-tls3:443
挖掘,以下块以不同的值出现两次(连续):

...
Post-Handshake New Session Ticket arrived:
SSL-Session:
    Protocol  : TLSv1.3
    Cipher    : TLS_AES_256_GCM_SHA384
    Session-ID: 819CA63CCA685293BDC0B45243F835AE891F55144218CB8FB35AA7F21C37B5AF
    Session-ID-ctx: 
    Resumption PSK: EC0F7DAEFA69EF162BDB2D23D7017D5E4D5F8B4E37461C016FFEE110EA7A9DB42B0C4E34558780CBDEE1827E2A70A0F7
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - 62 b6 46 5a d2 1e f5 0d-6c 05 a1 00 f7 0d 5b bd   b.FZ....l.....[.
    0010 - bd 4e 27 96 cc ee 88 dd-a3 5f 03 6f fb 5b 0d 1f   .N'......_.o.[..

    Start Time: 1606408171
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: no
    Max Early Data: 0
...
所以,我的问题是:在TLSv1.3协议中是否有什么东西迫使nginx发送两次会话票证,或者它是nginx的某个特定部分?因为它看起来只是一些冗余的东西,客户端将忽略它….

票证在TLS1.3中与早期版本不同;它实际上为一个保持前向保密的派生PSK设置了名称,并且可以有多个,请参见RFC8446。Nginx使用OpenSSL,并且显然不会改变。我不知道为什么OpenSSL选择了那个默认值,但您也可以通过
OpenSSL s_sarver
OpenSSL s_client
看到它。如果你想继续这样做,这实际上不是一个编程问题或问题,更适合于。我遇到了一个类似的问题。链接类似(nginx+openssltls 1.3)。在我的例子中,有通过cookie的授权,它由几个子请求组成,并且在自动模式下,将cookie保存到文件不起任何作用。在下一个请求中,cookie被替换,这将导致403错误 
...
Post-Handshake New Session Ticket arrived:
SSL-Session:
    Protocol  : TLSv1.3
    Cipher    : TLS_AES_256_GCM_SHA384
    Session-ID: 819CA63CCA685293BDC0B45243F835AE891F55144218CB8FB35AA7F21C37B5AF
    Session-ID-ctx: 
    Resumption PSK: EC0F7DAEFA69EF162BDB2D23D7017D5E4D5F8B4E37461C016FFEE110EA7A9DB42B0C4E34558780CBDEE1827E2A70A0F7
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - 62 b6 46 5a d2 1e f5 0d-6c 05 a1 00 f7 0d 5b bd   b.FZ....l.....[.
    0010 - bd 4e 27 96 cc ee 88 dd-a3 5f 03 6f fb 5b 0d 1f   .N'......_.o.[..

    Start Time: 1606408171
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: no
    Max Early Data: 0
...