nginx TLSv1.3冗余握手后会话票证?
因此,我在nginx中使用TLSv1.3,在使用nginx TLSv1.3冗余握手后会话票证?,nginx,ssl,tls1.3,Nginx,Ssl,Tls1.3,因此,我在nginx中使用TLSv1.3,在使用curl和openssl进行测试期间,我看到了以下模式: curl-vhttps://domain-using-tls2: ... <request headers> > * TLSv1.2 (IN), TLS handshake, Newsession Ticket (4): * Connection state changed (MAX_CONCURRENT_STREAMS == 128)! < HTTP/2 200 &
curl
和openssl
进行测试期间,我看到了以下模式:
curl-vhttps://domain-using-tls2
:
...
<request headers>
>
* TLSv1.2 (IN), TLS handshake, Newsession Ticket (4):
* Connection state changed (MAX_CONCURRENT_STREAMS == 128)!
< HTTP/2 200
<response headers>
...
使用openssl s_client-connect domain-using-tls3:443
挖掘,以下块以不同的值出现两次(连续):
...
Post-Handshake New Session Ticket arrived:
SSL-Session:
Protocol : TLSv1.3
Cipher : TLS_AES_256_GCM_SHA384
Session-ID: 819CA63CCA685293BDC0B45243F835AE891F55144218CB8FB35AA7F21C37B5AF
Session-ID-ctx:
Resumption PSK: EC0F7DAEFA69EF162BDB2D23D7017D5E4D5F8B4E37461C016FFEE110EA7A9DB42B0C4E34558780CBDEE1827E2A70A0F7
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 300 (seconds)
TLS session ticket:
0000 - 62 b6 46 5a d2 1e f5 0d-6c 05 a1 00 f7 0d 5b bd b.FZ....l.....[.
0010 - bd 4e 27 96 cc ee 88 dd-a3 5f 03 6f fb 5b 0d 1f .N'......_.o.[..
Start Time: 1606408171
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
Max Early Data: 0
...
所以,我的问题是:在TLSv1.3协议中是否有什么东西迫使nginx发送两次会话票证,或者它是nginx的某个特定部分?因为它看起来只是一些冗余的东西,客户端将忽略它….票证在TLS1.3中与早期版本不同;它实际上为一个保持前向保密的派生PSK设置了名称,并且可以有多个,请参见RFC8446。Nginx使用OpenSSL,并且显然不会改变。我不知道为什么OpenSSL选择了那个默认值,但您也可以通过
OpenSSL s_sarver
和OpenSSL s_client
看到它。如果你想继续这样做,这实际上不是一个编程问题或问题,更适合于。我遇到了一个类似的问题。链接类似(nginx+openssltls 1.3)。在我的例子中,有通过cookie的授权,它由几个子请求组成,并且在自动模式下,将cookie保存到文件不起任何作用。在下一个请求中,cookie被替换,这将导致403错误
...
Post-Handshake New Session Ticket arrived:
SSL-Session:
Protocol : TLSv1.3
Cipher : TLS_AES_256_GCM_SHA384
Session-ID: 819CA63CCA685293BDC0B45243F835AE891F55144218CB8FB35AA7F21C37B5AF
Session-ID-ctx:
Resumption PSK: EC0F7DAEFA69EF162BDB2D23D7017D5E4D5F8B4E37461C016FFEE110EA7A9DB42B0C4E34558780CBDEE1827E2A70A0F7
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 300 (seconds)
TLS session ticket:
0000 - 62 b6 46 5a d2 1e f5 0d-6c 05 a1 00 f7 0d 5b bd b.FZ....l.....[.
0010 - bd 4e 27 96 cc ee 88 dd-a3 5f 03 6f fb 5b 0d 1f .N'......_.o.[..
Start Time: 1606408171
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
Max Early Data: 0
...