ssl 如何在Web服务器的客户端Hello中允许自定义TLS扩展

ha5z0ras  于 2023-08-06  发布在  其他
关注(0)|答案(2)|浏览(162)

自定义TLS扩展添加到客户端Hello消息时,Web服务器响应“ERR_SSL_DECRYPT_ERROR_ALERT”。Web服务器正在运行Apache。是否有在服务器端定义自定义扩展指南?
Screenshot after add the custom extension. Last one is the custom added extension.
Message Flow

dm7nw8vv

dm7nw8vv1#

原始客户端Hello被中间设备修改并发送到服务器。
TLS旨在防止中间人的任何修改。这包括由于最终的Finished消息包含所有握手消息上的受保护散列而被检测到的握手的修改。
因此,不可能简单地通过一些中间设备添加TLS扩展并期望握手成功。您看到的错误反映了服务器检测到对握手消息的操纵。

hfyxw5xn

hfyxw5xn2#

根据包含supported_versions扩展的映像,您的客户端支持TLS1.3(但我猜服务器不支持)
基于TLS1.3文档https://datatracker.ietf.org/doc/html/rfc8446#section-4.2
发生错误的原因可能是服务器希望看到pre_shared_key扩展名为最后一个扩展名
额外提示:在客户端/服务器密钥交换之后,您应该看到“New Session Ticket”数据包,并且在该位置发生了故障。
正确流量示例https://www.cloudshark.org/captures/26fa735868c1

相关问题