问题背景:
在听云测试业务,发现很多安全频道出错,分析失败的点,大部分位于听云一个检测点,检测的浏览器是ie8,分析HTPPS握手失败,大概率是因为HTTPS中SNI特性,在低版本的SSL协议中不支持。单次拨测,得到以下抓包数据。
看一下SSLv协议不支持SNI失败的场景:
SSL握手失败的过程
看一下详细的SSL Client Hello包
SSLv2包
在高版本的浏览器中,看下协商成功的包。
SSL握手成功的例子
Client hello包
TLSV1.2
结论:
客户端用的是sslv2的协议版本,部分云厂商CDN服务目前不支持sslv3及以下的ssl协议。sslv3协议支持的新特性包括SNI,主要适用于一个HTTPS证书,多个域名共享的情况下,以前的互联网一个HTTPS证书只用于一个域名,随着互联网发展,出现了很多域名,而且还有多个不同域名是一家公司,需要使用一个证书的情况,这种对于不支持SNI协议的SSL版本,就没有办法区分到底是对哪个域名做HTTPS认证,后一个TLSv1.2中,扩展字段中携带的Server Name 中携带了本次要认证的是哪个域名。
网友评论