HTTPS握手失败的案例之SNI

2019-11-30  本文已影响0人  平解技术控

问题背景:

在听云测试业务,发现很多安全频道出错,分析失败的点,大部分位于听云一个检测点,检测的浏览器是ie8,分析HTPPS握手失败,大概率是因为HTTPS中SNI特性,在低版本的SSL协议中不支持。单次拨测,得到以下抓包数据。

看一下SSLv协议不支持SNI失败的场景:

SSL握手失败的过程

看一下详细的SSL Client Hello包

SSLv2包

在高版本的浏览器中,看下协商成功的包。

SSL握手成功的例子

Client hello包

TLSV1.2

结论:

客户端用的是sslv2的协议版本,部分云厂商CDN服务目前不支持sslv3及以下的ssl协议。sslv3协议支持的新特性包括SNI,主要适用于一个HTTPS证书,多个域名共享的情况下,以前的互联网一个HTTPS证书只用于一个域名,随着互联网发展,出现了很多域名,而且还有多个不同域名是一家公司,需要使用一个证书的情况,这种对于不支持SNI协议的SSL版本,就没有办法区分到底是对哪个域名做HTTPS认证,后一个TLSv1.2中,扩展字段中携带的Server Name 中携带了本次要认证的是哪个域名。

上一篇下一篇

猜你喜欢

热点阅读