Golang中TLS版本设置

已于 2022-01-22 10:38:28 修改
阅读量3.6k 收藏 2
点赞数 1
分类专栏: Go网络 SSL/TLS协议详解 文章标签: golang 开发语言 后端
于 2022-01-22 10:31:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s2603898260/article/details/122633852
版权

Golang中TLS版本设置

文章目录


在这里插入图片描述

1. Go源码中的TLS

最近在看Go源码中的http框架tls实现框架实现,go中的TLS实现了TLS1.0, TLS1.1, TLS1.2, TLS1.3 四个版本,还有SSL3.0版本, 不过代码中已经明确说明不再支持SSL3.0版本。

const (
	VersionTLS10 = 0x0301
	VersionTLS11 = 0x0302
	VersionTLS12 = 0x0303
	VersionTLS13 = 0x0304

	// Deprecated: SSLv3 is cryptographically broken, and is no longer
	// supported by this package. See golang.org/issue/32716.
	VersionSSL30 = 0x0300
)

TLS 握手过程中,优先采用TLS1.3版本,然后依次是:TLS1.2, TLS1.1, TLS1.0。 当前网络上的TLS版本正处于从TLS1.1及以下版本往TLS1.2版本上升级,大多数已经开始使用TLS1.2版本。不过已经有很多应用支持TLS1.3版本,比如说浏览器(包括Chrome,IE,FireFox等主流浏览器),Postman工具、Eolinker工具等都已经支持TLS1.3。

我最初看到的TLS握手是这样的:
请添加图片描述

但是在看go的tls源码时,流程上报文交互有很大的差距,后来又通过断点debug的方式确定了是由于TLS版本不同导致的,这才开始了解TLS1.2 与 TLS1.3版本之间的异同,这里暂不介绍他们之间的关系。后来为了继续看TLS1.2(上图交互流程)的实现,尝试了各种浏览器、Linux中的wget, windows上的postman, eolink等,他们默认都是采用TLS1.3版本。 这才有了标题的需求通过配置修改go中TLS支持的版本号

2. https服务端修改TLS支持版本

go代码中实现起来非常方便,http包中提供了使用默认配置的接口ListenAndServeTLS。它实现了一个默认的Server结构

func ListenAndServeTLS(addr, certFile, keyFile string, handler Handler) error {
	server := &Server{Addr: addr, Handler: handler}
	return server.ListenAndServeTLS(certFile, keyFile)
}

其中,TLS参数配置是Server结构中的一个成员:TLSConfig *tls.Config。因此我们只需要实现一个Server结构,然后配置其中的TLSConfig *tls.Config即可。

实现如下:

package main

import (
	"crypto/tls"
	"fmt"
	"net/http"
)

func HelloWorld(w http.ResponseWriter, r *http.Request) {
	fmt.Fprintln(w, "hello world")
}

func main() {/*默认情况下*/
	http.HandleFunc("/", HelloWorld)

	err := http.ListenAndServeTLS(":10443", "./cert/server.crt", "./cert/server.key", nil)
	if err != nil {
		fmt.Println(err)
	}
}

func main() {/*修改TLS版本*/
	http.HandleFunc("/", HelloWorld)

	server := &http.Server{
		Addr:    ":8443",
		Handler: nil,
		TLSConfig: &tls.Config{
			MinVersion: tls.VersionTLS12,
			MaxVersion: tls.VersionTLS12,
		},
	}

	err := server.ListenAndServeTLS("./cert/server.crt", "./cert/server.key")
	if err != nil {
		fmt.Println(err)
	}
}

3. 抓包验证

请添加图片描述

关于Wireshark中的TLS版本显示问题:

wireshark标注tls所属版本,并不是通过当前报文来标注的,而是类似于会话的方式进行标注

目前ClientHello报文,需要兼容TLS1.3, TLS1.2,…等多个版本,仅从ClientHello无法判断出当前的版本。TLS版本是在ServerHello中确定的。

  • TLS1.2 ServerHello报文
    请添加图片描述

  • TLS1.3 ServerHello报文
    请添加图片描述

从这两张图上应该可以看出:TLS1.2与TLS1.3 的握手报文中version字段填充的都是0x0303,也就是TLS1.2版本,如果是TLS1.3,则是通过扩展字段supported_version来确定的

这一点刚开始学TLS的时候有点小困惑…

叨陪鲤
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
TLS不同版本流程区别(待完善)
m0_51514815的博客
06-01 1167
(Hash 算法的计算结果),同时也是生成了 master secretmaster secret 后发送的第一条加密信息。
Wireshark抓包TLS协议栏显示版本不一致问题
weixin_43487849的博客
06-30 2553
进行APP安全测试时遇到一个问题,在协议显示栏里一堆TLS1.2版本的包**出现几个TLSv1,并且都是client hello包,**我们知道TLSv1是不安全的,那这是不是安全漏洞呢? 下面为TLS协商过程: 1.客户端发送 生成随机数(client random)和支持的加密方法 给 服务器 第一个握手包,因为是握手过程,这个消息里包含了一个客户端生成的随机数 Random1、客户端支持的加密套件(Support Ciphers)和 SSL Version 等信息,因为密钥还没协商,这里还是使用明
SSL Version 3 and 2 and TLS Version 1.1 and TLS Version 1.0 Protocol Detection
weixin_40133285的博客
04-26 7866
SSL Version 2 and 3 Protocol Detection and TLS Version 1.1 Protocol Deprecated and TLS Version 1.0 Protocol Detection 操作系统版本:Windows Server 2012 R2 前言:若原有使用TLS1.2版本,则注册表修改后即可生效,若原有未使用TLS1.2版本但封禁了可使用的SSL/TLS版本,则会导致SSL/TLS连接无法建立,重启后方生效。 The remote service ac
2024年Go最新基于golang语言修复FRP TLS安全隐患 CVE-2016-2183(2),2024年最新Golang开发知识体系
最新发布
2401_84919720的博客
05-14 387
获取](https://bbs.csdn.net/topics/618658159)**其他使用golang开发的工具如果存在相似的问题,应该也可以通过这种方法修复。可以看到,修复效果非常明显,相信不会再被扫描出漏洞了。本人已经向FRP官方提交PR,希望能够获得通过。
使用Go实现TLS 服务器和客户端
dodod2012的专栏
06-16 1697
使用Go实现TLS 服务器和客户端 传输层安全协议(Transport Layer Security,缩写:TLS),及其前身安全套接层(Secure Sockets Layer,缩写:SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。 SSL包含记录层(Record Layer)和传输层,记录层协议确定了传输层数据的封装格式。传输层安全协议使用X.509认证,之后利用非对称加密演算来对通信方做身份认证,之后交换对称密钥作为会谈密钥(Session key)。这个会谈密钥是用来将通信两方
TLS1.3 协议介绍
狗子身上有太阳
11-13 1916
一、 协议介绍 TLS(Transport Layer Security )的文全称是安全传输层协议,TLS的设计目标是在传输层之上,构建一个安全传输层。 因为有了TLS的存在,HTTP协议栈增加了安全性。变成了目前大规模使用的HTTPS。SSL是TLS的前身。在TLS1.3发布之前,TLS 1.2是该协议的最新版本TLS是保护Web应用程序和Web浏览器之间通信的标准,但更常见的是通常位于可...
golang简单tls协议用法完整示例
09-21
主要介绍了golang简单tls用法,分析了tls协议的使用步骤及客户端与服务器端的相关实现代码,需要的朋友可以参考下
golang-tls:简单的Golang HTTPSTLS示例
01-31
4. **HTTPS客户端**:在Golang,`http.Client`有一个`Transport`字段,可以通过设置`Transport`的`TLSClientConfig`来定制客户端的TLS行为。这可以用来设置证书、禁用特定的密码套件或启用HTTP/2。 5. **HTTP/2...
指纹镜检查:我在使用GolangTLS指纹识别包时感到刺痛
02-09
TLS指纹识别是通过分析服务器提供的TLS握手过程的各种特征,如支持的TLS版本、加密套件、证书等,来创建一个独特的“指纹”,这个指纹可以用来识别特定的服务器或软件。这种技术常用于渗透测试、安全审计和恶意...
tlscat:Netcat 喜欢在 Golang 启用 tls
06-01
猫猫 启用了 TLS(传输层安全)的 Netcat 类似工具 用法 连接
在Go的帮助下模仿Node内的TLS / JA3指纹-Golang开发
05-26
在Go myTls的帮助下,在Node内模拟TLS / JA3指纹在Go安装的帮助下,在Node内模拟TLS / JA3指纹。$ npm install mytls用法const initMyTls = require('mytls'); // Typescript:从“ mytls”导入initMyTls; ...
TLS协议是什么意思?详解chrome如何查看TLS版本
from_sky的博客
09-28 9655
TLS协议是什么意思?详解Chrome如何查看TLS1.3版本TLS协议是什么意思?SSL/TLS是什么协议?详解TLS是什么协议?SSL/TLS协议有什么作用?Chrome如何查看TLS1.3版本TLS协议是什么意思? TLS(Transport Layer Security)是SSL(Secure Socket Layer)的后续版本,它们是用于在互联网两台计算机之间用于身份验证和加密的一种协议。 SSL/TLS是什么协议? SSL(安全套接字层)是一种标准安全协议,用于在在线通信建立Web服
TLS Version 1.0 Protocol Detection 漏洞修复
小小关的博客
08-26 2658
用nessus 扫描服务器发现如下漏洞,端口服务是nginx提供:漏洞修复:配置nginx server 下添加如下内容:
SSL/TLS介绍以及wireshark抓包TLS Handshake报文
weixin_52018852的博客
10-01 4863
SSL/TLS是在应用层和传输层之间的一个安全协议,通信的双方在进行通信前需要握手,通过在通信的两端建立一个安全的通道,保护数据在传输过程的安全性。Session Identifier 的优点是它很简单,但它的缺点是,如果服务器重新启动或者会话超时,之前的Session Identifier就会失效,需要重新建立会话。Session Ticket 的优点是它可以在服务器重启后仍然保持会话的有效性,但需要确保会话票据的安全性,以防止被恶意利用。因为这是一次单向认证的Handshake过程,故比较简单。
码了2000多行代码就是为了讲清楚TLS握手流程
新世界杂货铺
11-28 493
来自公众号:新世界杂货铺 文章目录前言结论先行HTTPS单向认证HTTPS双向认证总结Client发送HelloMsgServer读HelloMsg&发送消息处理clientHelloMsg选择合适的证书以及签名算法计算握手阶段的密钥以及发送Server的参数发送Server证书以及签名发送finishedMsg并再次计算密钥Client读消息&发送消息读取serverHelloMsg并计算密钥处理Server发送的参数验证证书和签名处理finishedMsg并再次计算密钥Client发.
Go实现tls的通信的简单代码例子
xuguokun1986的博客
01-17 3416
1、创建本地证书和秘钥,创建脚本如下 #!/bin/bash mkdir certs rm -rf certs/* echo "make server cert" openssl req -new -nodes -x509 -out certs/server.pem -keyout certs/server.key -days 3650 -subj "/C=DE/ST=NRW/L=Earth/
使用wireshark分析TLS
网鱼的栈
12-22 3019
原文链接:https://www.cnblogs.com/lv6965/p/7859925.html 1.基本概念 SSL:(Secure Socket Layer,安全套接字层),位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端和服务器之间的安全通讯。该协议由两层组成:SSL记录协议和SSL握手协议。 TLS:(Transport Layer Security,传输层安全协议),用于两个应用程序之间提供保密性和数据
关于 TLS Client_Hello 版本的问题分析
weixin_44184325的博客
03-17 1909
以上可知,因为client_hello的兼容性,无论Record Layer使用哪种TLS协议版本,client_hello数据报文均能够得到有效的解析,最终完成数据通信过程TLS协议版本协商。SSL 3.0、TLS 1.0、TLS 1.1、TLS 1.2保持兼容的clienthello数据格式,只要保持兼容的数据格式,即使未来出现更高的tls 协议版本,服务器也能够进行处理。Client报文的封装和解析与Version协议版本无关,即使上下version均修改后,报文仍然可以得到正确的解析。
客户端服务器通信协议版本不匹配,TLS版本不匹配(?)
weixin_30421043的博客
08-13 2674
让我们说我作为客户的一方支持TLS V1.0,1.1和1.2。远程站点支持TLS V1.0和1.1。双方支持相同的密码。我的问题:1 - 根据我的理解,我将始终使用我可用的最高TLS版本启动通信。在那种情况下,我将如何能够与另一方联系?2 - 以下是如上所述的客户端和服务器之间的Wireshark CLIENT HELLO捕获。TLSv1.1 Record Layer: Handshake P...
golang tcp tls
05-30
Go语言提供了标准库的net包来实现TCP协议的网络编程,同时也提供了crypto/tls包来实现TLS/SSL协议的加密通信。 使用net包实现TCP连接很简单,可以通过net.Dial函数来实现TCP连接。示例代码如下: ``` conn, err := net.Dial("tcp", "127.0.0.1:8080") if err != nil { // handle error } defer conn.Close() // do something with conn ``` 使用crypto/tls包实现TLS连接也很简单,可以通过tls.Dial函数来实现TLS连接。示例代码如下: ``` conn, err := tls.Dial("tcp", "127.0.0.1:8080", &tls.Config{ InsecureSkipVerify: true, }) if err != nil { // handle error } defer conn.Close() // do something with conn ``` 需要注意的是,TLS连接需要提供一个tls.Config对象来配置TLS连接的参数,其InsecureSkipVerify表示是否跳过证书验证,这里为了方便演示设置为true,生产环境应该设置为false并提供正确的证书链。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

叨陪鲤

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值