OpenSSL-SNI

最新推荐文章于 2023-07-31 23:46:04 发布
最新推荐文章于 2023-07-31 23:46:04 发布
阅读量1w 收藏 13
点赞数 3
分类专栏: 密码学 SSL/TLS 文章标签: cryptography OpenSSL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011130578/article/details/77979325
版权

一、什么是SNI?

    SNI是Server Name Indication的缩写,是为了解决一个服务器使用多个域名和证书的SSL/TLS扩展。它允许客户端在发起SSL握手请求时(客户端发出ClientHello消息中)提交请求的HostName信息,使得服务器能够切换到正确的域并返回相应的证书。
    在SNI出现之前,HostName信息只存在于HTTP请求中,但SSL/TLS层无法获知这一信息。通过将HostName的信息加入到SNI扩展中,SSL/TLS允许服务器使用一个IP为不同的域名提供不同的证书,从而能够与使用同一个IP的多个“虚拟主机”更方便地建立安全连接。

二、RFC中SNI的定义

    RFC 6066《Transport Layer Security (TLS) Extensions: Extension Definitions》对SNI扩展做了详细的定义。要点如下:
1)    Client需要在ClientHello中包含一个名为”server_name”的扩展,这个扩展的”extension_data”域中需要包含”ServerNameList”;
2)    ServerNameList中包含了多个HostName及其类型(name_type),但所有HostName的name_type不能相同(早期的RFC规范允许一个name_type多个HostName,但  实际上当前的client实现只发送一个HostName,而且client不一定知道server选择了哪个HostName,因此禁止一个name_type多个HostName);
3)    HostName中包含的是server的完全合格的DNS主机名,且HostName中不允许包含IPv4或IPv6地址;
4)    如果server收到的ClientHello中带有”server_name”扩展,它也应该在ServerHello中包含一个”server_name”扩展,其中的”extension_data”域应为空;
5)    当执行会话恢复时,clinet应该在ClientHello中包含与上次会话相同的”server_name”扩展。如果扩展中包含的name与上次的不同,server必须拒绝恢复会话。恢复会话时server必须不能在ServerHello中包含”server_name”扩展;
6)    如果一个应用程序使用应用层协议协商了一个server name然后升级到TLS,并且发送了”server_name”扩展,这个扩展中必须包含与在应用层协议中所协商的相同的server name。如果这个server name成功应用在了TLS会话中,client不应该在应用层尝试请求一个不同的server name。

三、OpenSSL(基于OpenSSL-1.1.0f)与SNI

3.1 Client设置server_name扩展

    用户可以通过SSL_set_tlsext_host_name(s,name)函数来设置ClientHello中的Server Name: 
246 # define SSL_set_tlsext_host_name(s,name) \
247 SSL_ctrl(s,SSL_CTRL_SET_TLSEXT_HOSTNAME,TLSEXT_NAMETYPE_host_name,(char *)name)
1670 long SSL_ctrl(SSL *s, int cmd, long larg, void *parg)
1671 {
1672     long l;
1673
1674     switch (cmd) {
…
1747     default:
1748         return (s->method->ssl_ctrl(s, cmd, larg, parg));
1749     }
1750 }
    对于TLS_client_method()和TLS_server_method(),s->method->ssl_ctrl指向ssl3_ctrl: 
2883 long ssl3_ctrl(SSL *s, int cmd, long larg, void *parg)
2884 {
2885     int ret = 0;
2886
2887     switch (cmd) {
…
2961     case SSL_CTRL_SET_TLSEXT_HOSTNAME:
2962         if (larg == TLSEXT_NAMETYPE_host_name) {
2963             size_t len;
2964
2965             OPENSSL_free(s->tlsext_hostname);
2966             s->tlsext_hostname = NULL;
2967
2968             ret = 1;
2969             if (parg == NULL)
2970                 break;
2971             len = strlen((char *)parg);
2972             if (len == 0 || len > TLSEXT_MAXLEN_host_name) {
2973                 SSLerr(SSL_F_SSL3_CTRL, SSL_R_SSL3_EXT_INVALID_SERVERNAME);
2974                 return 0;
2975             }
2976             if ((s->tlsext_hostname = OPENSSL_strdup((char *)parg)) == NULL) {
2977                 SSLerr(SSL_F_SSL3_CTRL, ERR_R_INTERNAL_ERROR);
2978                 return 0;
2979             }
2980         } else {
2981             SSLerr(SSL_F_SSL3_CTRL, SSL_R_SSL3_EXT_INVALID_SERVERNAME_TYPE);
2982             return 0;
2983         }
2984         break;
…
    可见SSL_set_tlsext_host_name(s,name)函数最终将name保存到s->tlsext_hostname上,在构建ClientHello扩展时将其发送出去: 
968 unsigned char *ssl_add_clienthello_tlsext(SSL *s, unsigned char *buf,
969                                           unsigned char *limit, int *al)
970 {
…
1027     if (s->tlsext_hostname != NULL) {
1028         /* Add TLS extension servername to the Client Hello message */
1029         size_t size_str;
1030
1031         /*-
1032          * check for enough space.
1033          * 4 for the servername type and extension length
1034          * 2 for servernamelist length
1035          * 1 for the hostname type
1036          * 2 for hostname length
1037          * + hostname length
1038          */
1039         size_str = strlen(s->tlsext_hostname);
1040         if (CHECKLEN(ret, 9 + size_str, limit))
1041             return NULL;
1042
1043         /* extension type and length */
1044         s2n(TLSEXT_TYPE_server_name, ret);
1045         s2n(size_str + 5, ret);
1046
1047         /* length of servername list */
1048         s2n(size_str + 3, ret);
1049
1050         /* hostname type, length and hostname */
1051         *(ret++) = (unsigned char)TLSEXT_NAMETYPE_host_name;
1052         s2n(size_str, ret);
1053         memcpy(ret, s->tlsext_hostname, size_str);
1054         ret += size_str;
1055     }
…
    发送的ClientHello中的扩展信息如图:


3.2 Server设置servername_callback

    为了根据ClientHello中的servername返回相应的证书以及进行其它相关处理,server需要设置callback函数来完成这些功能: 
279 # define SSL_CTX_set_tlsext_servername_callback(ctx, cb) \
280 SSL_CTX_callback_ctrl(ctx,SSL_CTRL_SET_TLSEXT_SERVERNAME_CB,(void (*)(void))cb)
1882 long SSL_CTX_callback_ctrl(SSL_CTX *ctx, int cmd, void (*fp) (void))
1883 {
1884     switch (cmd) {
1885     case SSL_CTRL_SET_MSG_CALLBACK:
1886         ctx->msg_callback = (void (*)
1887                              (int write_p, int version, int content_type,
1888                               const void *buf, size_t len, SSL *ssl,
1889                               void *arg))(fp);
1890         return 1;
1891
1892     default:
1893         return (ctx->method->ssl_ctx_callback_ctrl(ctx, cmd, fp));
1894     }
1895 }
3488 long ssl3_ctx_callback_ctrl(SSL_CTX *ctx, int cmd, void (*fp) (void))
3489 {
3490     switch (cmd) {
…
3498     case SSL_CTRL_SET_TLSEXT_SERVERNAME_CB:
3499         ctx->tlsext_servername_callback = (int (*)(SSL *, int *, void *))fp;
3500         break;
…
    这里设置的callback函数会在Server处理server_name扩展时调用。
    通常server在回调函数被调用时都需要知道ClientHello中包含的Host Name的内容,这可以通过SSL_get_servername()函数来实现: 
2081 const char *SSL_get_servername(const SSL *s, const int type)
2082 {
2083     if (type != TLSEXT_NAMETYPE_host_name)
2084         return NULL;
2085
2086     return s->session && !s->tlsext_hostname ?
2087         s->session->tlsext_hostname : s->tlsext_hostname;
2088 }

3.3 Server处理server_name扩展

    Server在检查ClientHello时,如果发现了”server_name”扩展则会对其进行解析: 
1890 static int ssl_scan_clienthello_tlsext(SSL *s, PACKET *pkt, int *al)
1891 {
…
1986         else if (type == TLSEXT_TYPE_server_name) {
1987             unsigned int servname_type;
1988             PACKET sni, hostname;
1989
1990             if (!PACKET_as_length_prefixed_2(&extension, &sni)
1991                 /* ServerNameList must be at least 1 byte long. */
1992                 || PACKET_remaining(&sni) == 0) {
1993                 return 0;
1994             }
1995
1996             /*
1997              * Although the server_name extension was intended to be
1998              * extensible to new name types, RFC 4366 defined the
1999              * syntax inextensibility and OpenSSL 1.0.x parses it as
2000              * such.
2001              * RFC 6066 corrected the mistake but adding new name types
2002              * is nevertheless no longer feasible, so act as if no other
2003              * SNI types can exist, to simplify parsing.
2004              *
2005              * Also note that the RFC permits only one SNI value per type,
2006              * i.e., we can only have a single hostname.
2007              */
2008             if (!PACKET_get_1(&sni, &servname_type)
2009                 || servname_type != TLSEXT_NAMETYPE_host_name
2010                 || !PACKET_as_length_prefixed_2(&sni, &hostname)) {
2011                 return 0;
2012             }
2013
2014             if (!s->hit) {
2015                 if (PACKET_remaining(&hostname) > TLSEXT_MAXLEN_host_name) {
2016                     *al = TLS1_AD_UNRECOGNIZED_NAME;
2017                     return 0;
2018                 }
2019
2020                 if (PACKET_contains_zero_byte(&hostname)) {
2021                     *al = TLS1_AD_UNRECOGNIZED_NAME;
2022                     return 0;
2023                 }
2024
2025                 if (!PACKET_strndup(&hostname, &s->session->tlsext_hostname)) {
2026                     *al = TLS1_AD_INTERNAL_ERROR;
2027                     return 0;
2028                 }
2029
2030                 s->servername_done = 1;
2031             } else {
2032                 /*
2033                  * TODO(openssl-team): if the SNI doesn't match, we MUST
2034                  * fall back to a full handshake.
2035                  */
2036                 s->servername_done = s->session->tlsext_hostname
2037                     && PACKET_equal(&hostname, s->session->tlsext_hostname,
2038                                     strlen(s->session->tlsext_hostname));
2039             }
2040         }
…
    2009行:OpenSSL中的Server Name Type只有TLSEXT_NAMETYPE_host_name一种。
    2014-2039:如果不是出于会话恢复过程中,则将hostname解析到s->session->tlsext_hostname;否则对比扩展中的hostname和上次保存的hostname,不一致则发起全新的握手(不允许恢复会话)。
    在解析完server_name扩展之后,OpenSSL会在ssl_check_clienthello_tlsext_early()函数中调用server设置的回调函数: 
2319 int ssl_parse_clienthello_tlsext(SSL *s, PACKET *pkt)
2320 {
2321     int al = -1;         
2322     custom_ext_init(&s->cert->srv_ext);
2323     if (ssl_scan_clienthello_tlsext(s, pkt, &al) <= 0) {
2324         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2325         return 0;        
2326     }
2327     if (ssl_check_clienthello_tlsext_early(s) <= 0) {
2328         SSLerr(SSL_F_SSL_PARSE_CLIENTHELLO_TLSEXT, SSL_R_CLIENTHELLO_TLSEXT);
2329         return 0;
2330     }
2331     return 1;
2332 }
2670 static int ssl_check_clienthello_tlsext_early(SSL *s)
2671 {
2672     int ret = SSL_TLSEXT_ERR_NOACK;
2673     int al = SSL_AD_UNRECOGNIZED_NAME;
2674
2675 #ifndef OPENSSL_NO_EC
2676     /*
2677      * The handling of the ECPointFormats extension is done elsewhere, namely
2678      * in ssl3_choose_cipher in s3_lib.c.
2679      */
2680     /*
2681      * The handling of the EllipticCurves extension is done elsewhere, namely
2682      * in ssl3_choose_cipher in s3_lib.c.
2683      */
2684 #endif
2685
2686     if (s->ctx != NULL && s->ctx->tlsext_servername_callback != 0)
2687         ret =
2688             s->ctx->tlsext_servername_callback(s, &al,
2689                                          s->ctx->tlsext_servername_arg);
2690     else if (s->session_ctx != NULL
2691              && s->session_ctx->tlsext_servername_callback != 0)
2692         ret =
2693             s->session_ctx->tlsext_servername_callback(s, &al,
2694                                          s->
2695                                          session_ctx->tlsext_servername_arg);
2696
2697     switch (ret) {
2698     case SSL_TLSEXT_ERR_ALERT_FATAL:
2699         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2700         return -1;
2701
2702     case SSL_TLSEXT_ERR_ALERT_WARNING:
2703         ssl3_send_alert(s, SSL3_AL_WARNING, al);
2704         return 1;
2705
2706     case SSL_TLSEXT_ERR_NOACK:
2707         s->servername_done = 0;
2708     default:
2709         return 1;
2710     }
2711 }
    如果call_back函数返回的是SSL_TLSEXT_ERR_OK,则OpenSSL会在ServerHello中添加一个内容为空的server_name扩展: 
1449 unsigned char *ssl_add_serverhello_tlsext(SSL *s, unsigned char *buf,
1450                                           unsigned char *limit, int *al)
1451 {
…
1500     if (!s->hit && s->servername_done == 1
1501         && s->session->tlsext_hostname != NULL) {
1502         /*-
1503          * check for enough space.
1504          * 4 bytes for the server name type and extension length
1505          */
1506         if (CHECKLEN(ret, 4, limit))
1507             return NULL;
1508
1509         s2n(TLSEXT_TYPE_server_name, ret);
1510         s2n(0, ret);
1511     }
…
    发送的样式如下图所示:

3.4 Client处理server_name扩展

    Client在处理ServerHello中如果发现了server_name扩展,则会检查自己之前是否发送过这个扩展。如果发送过则将扩展的名字记录在会话中: 

                

        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  Remy1119
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    3
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    13
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  2
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
基于Scapy修改ClientHello的SNI(三)

				
			

			

				

					ftzchina的博客
				

				

					11-25
					
					1092
					
				

			

		

		

			
				
需求:修改HTTPS的ClientHello中的SNI字段
目标:修改成功,wireshark显示正常
语言:Python
三方库:Scapy

			
		

	



                

              
                



	

		

			

				
					
SNI: 实现多域名虚拟主机的SSL/TLS认证

					
热门推荐

				
			

			

				

					上善若水,水善利万物而不争。
				

				

					02-20
					
					1万+
					
				

			

		

		

			
				
一、介绍	早期的SSLv2根据经典的公钥基础设施PKI(Public Key Infrastructure)设计,它默认认为:一台服务器(或者说一个IP)只会提供一个服务,所以在SSL握手时,服务器端可以确信客户端申请的是哪张证书。但是让人万万没有想到的是,虚拟主机大力发展起来了,这就造成了一个IP会对应多个域名的情况。解决办法有一些,例如申请泛域名证书,对所有*.yourdomain.com的域

			
		

	



                


  
              

                


	

		

			

				
					
OpenSSL SNI

				
			

			

				

					weixin_30787531的博客
				

				

					08-02
					
					328
					
				

			

		

		

			
				
网站ssl检测工具
  https://www.ssllabs.com/ssltest/analyze.html?d=gggl.houseoflux.com.cn
  https://myssl.com/    #网站SSL安全监测

  今天遇到一个问题,通过cdn取源站的数据取不到,通过测试确认源站支持的cipher suites 与我们不同。
  客户源站:
  
...

			
		

	





	

		

			

				
					
openssl使用sni支持多域名、多证书服务

				
			

			

				

					linyanxin2007的专栏
				

				

					04-16
					
					1787
					
				

			

		

		

			
				
map<string,SSL_CTX*> g_ctxMap;
SSL_CTX* serverSslCtx = NULL;
static int serverNameCallback(SSL * ssl, int * ad, void * arg)
{
	if(ssl == NULL)
		return SSL_TLSEXT_ERR_NOACK;

	const char * s...

			
		

	



		

			
		



	

		

			

				
					
HTTPS-SSL/TSL与SNI的关系以及同IP多域名虚拟主机的SSL/TSL认证

				
			

			

				

					weixin_34256074的博客
				

				

					10-23
					
					299
					
				

			

		

		

			
				
早期的SSLv2根据经典的公钥基础设施PKI(Public Key Infrastructure)设计,它默认认为:一台服务器(或者说一个IP)只会提供一个服务,所以在SSL握手时,服务器端可以确信客户端申请的是哪张证书。
但是让人万万没有想到的是,虚拟主机大力发展起来了,这就造成了一个IP会对应多个域名的情况。解决办法有一些,例如申请泛域名证书,对所有*.yourdomain.com的域名都可以...

			
		

	





	

		

			

				
					
C语言使用openssl库解析TLS报文(SNI和证书)

				
			

			

				

					Chuancey的博客
				

				

					02-15
					
					7225
					
				

			

		

		

			
				
项目中需要对TLS报文中SNI和证书部分进行过滤,并且之前并没有接触过这方面的内容,为了解决这一需求,期间学习了不少知识,也走了不少弯路。就写下这篇博客记录分享一下。项目背景:项目是一个类似防火墙的软件,可以过滤特定的TLS流量。实现原理就是通过对TLS数据包流量进行解析,得到想要过滤的字段数据,根据过滤规则决定是否放行该TLS流量。本次需要过滤的TLS数据包主要针对SNI和证书,TLS报文的版本为1.2。使用版本为1.0.2k的openssl库进行C编程。

			
		

	





	

		

			

				
					
OpenSSL客户端服务器源码实例

				
			

			

				

					02-25
				

			

		

		

			
				
在实际应用中,OpenSSL不仅可以用于实现基本的SSL/TLS通信,还可以支持更复杂的特性,如会话缓存、服务器名称指示(SNI)、心跳扩展等。对于安全性,还可以设置严格的证书验证策略,防止中间人攻击。  总结来说,这...

			
		

	





	

		

			

				
					
nginx-Win32.zip

				
			

			

				

					07-21
				

			

		

		

			
				
TLS SNI support enabled configure arguments: --with-cc=cl --builddir=objs --with-debug --prefix= --conf-path=conf/nginx.conf --pid-path=logs/nginx.pid --...

			
		

	





	

		

			

				
					
ssl-exerfly

				
			

			

				

					02-14
				

			

		

		

			
				
8. **扩展性**:SSL/TLS协议允许添加各种扩展,如服务器名称指示(SNI)使单个IP地址可以托管多个SSL证书,或者OCSP stapling用于快速验证证书状态。  9. **安全最佳实践**:网站所有者应定期更新其SSL/TLS配置,弃...

			
		

	





	

		

			

				
					
nginx-rtmp:支持rtmp输出流

				
			

			

				

					03-01
				

			

		

		

			
				
1.0.2p pcre-8.42 zlib-1.2.11dev分支说明在1.2.1基础上做一些小修改,原版请用master分支配置参数nginx version: nginx/1.14.1built by cl 18.00.40629 for x86built with OpenSSL 1.0.2p 14 Aug 2018TLS SNI ...

			
		

	





	

		

			

				
					
tls-channel:一个Java库,可通过SSLEngine实现ByteChannel接口,从而为Java应用程序启用易于使用的(类似于套接字的)TLS

				
			

			

				

					02-03
				

			

		

		

			
				
 换句话说,一个简单的库允许程序员使用与用于纯文本的标准套接字API相同的标准套接字API来实现TLS,就像OpenSSL对于C,仅用于Java一样,填补了标准库中一个特别痛苦的缺失功能。主要特点实现 , 和 ,这是由实现的...

			
		

	





	

		

			

				
					
中国72%的个人电脑仍然使用Windows XP- SSL/SNI 问题

				
			

			

				

					weixin_33802505的博客
				

				

					10-15
					
					118
					
				

			

		

		

			
				
很难相信,自微软发布WindowsXP之后,已经度过了12年。 尽管一直以来,该系统都存在安全问题,还需要每日进行更新,但是该系统仍然算得上是一个好的操作系统。在被新版本,如Vista,Windowws 7, 甚至最新的Windows 8取代之后,微软宣布自2014年4月后将最终停止对WindowsXP的支持。这个消息很重要,因为在中国有72%用户仍然使用XP系统!这主要是因...

			
		

	





	

		

			

				
					
SSL / TLS协议解析!SNI 识别

				
			

			

				

					chen1415886044的博客
				

				

					05-01
					
					6709
					
				

			

		

		

			
				
自Web诞生以来,我们所接触的互联网时代,都有可能存在信息的截断,而SSL协议及其后代TLS提供了加密和安全性,使现代互联网安全成为可能。
这些协议已有将近二十多年的历史,其特点是不断更新,旨在与日趋复杂的攻击者保持同步。
什么是SSL!什么是TLS!
SSL代表安全套接字层,该协议是由Netscape于1990年代中期开发的,Netscape是当时最受欢迎的Web浏览器。SSL 1.0从未向公众发布,而SSL 2.0具有严重的缺陷。1996年发布的SSL 3.0进行了彻底的改进,为后续工作奠定了基础。
而

			
		

	





	

		

			

				
					
HTTPS之SNI介绍

				
			

			

				

					任我行的博客
				

				

					06-30
					
					2796
					
				

			

		

		

			
				
1. 介绍
    早期的SSLv2根据经典的公钥基础设施PKI(Public Key Infrastructure)设计,默认一台服务器(或者说一个IP)只会提供一个服务,所以在SSL握手时,服务器端可以确信客户端申请的是哪张证书。

    但是让人万万没有想到的是,虚拟主机大力发展起来了,这就造成了一个IP会对应多个域名的情况。解决办法有一些,例如申请泛域名证书,对所有*.yourdomain.com的域名都可以认证,但如果你还有一个yourdomain.net的域名,那就不行了。

    在HTT

			
		

	





	

		

			

				
					
HTTPS 深入浅出 - SNI

				
			

			

				

					ahyz9638的博客
				

				

					03-25
					
					1593
					
				

			

		

		

			
				
SNI(Server Name Indication)
用来解决一个服务器拥有多个域名的情况
之前的 SSL 握手信息中并没有携带客户端要访问的目标地址。这样会导致一个问题,如果一台服务器有多个虚拟主机,且每个主机的域名不一样,使用了不一样的证书,该返回哪一个给客户端?
做法就是在 Client Hello 中补上 Host 信息,SNI 在 TLSv1.2 开始得到协议的支持,当...

			
		

	





	

		

			

				
					
容器云问题3:开启SNI解决SSL证书匹配问题

				
			

			

				

					蓝e的专栏
				

				

					08-25
					
					1722
					
				

			

		

		

			
				
容器云问题3:开启SNI解决SSL证书匹配问题
SNI指是一项用于改善SSL/TLS的技术,在SSLv3/TLSv1中被启用。它允许客户端在发起SSL握手请求时(具体说来,是客户端发出SSL请求中的ClientHello阶段),就提交请求的Host信息,使得服务器能够切换到正确的域并返回相应的证书。
SSL网站用的证书,提交到web服务器时,原本设计的是按服务器IP+端口来提交的。这样就造成了同一...

			
		

	





	

		

			

				
					
TLS:总结下ClientHello和ServerHello中的扩展项

				
			

			

				

					大力海棠的博客
				

				

					04-06
					
					5028
					
				

			

		

		

			
				
目录

TLS/SSL协议扩展

SNI服务器名称指示

Max Fragment Length分块最大数量

Status Request证书状态请求

Signature Algorithm签名和摘要算法

ALPN应用层协议协商扩展

以前的我一直很少在意扩展项这部分(除了证书扩展外),但是后来接触的TLS/SSL协议越多,发现扩展项很多地方都出现,而且挺重要的,如证书链结构里的CRL分发点...

			
		

	





	

		

			

				
					
记一次 HTTPS 抓包分析和 SNI 的思考

					
最新发布

				
			

			

				

					仁扬
				

				

					07-31
					
					923
					
				

			

		

		

			
				
日常听说 HTTPS 是加密协议,那现实中的 HTTPS 流量,是真的完全加密吗?答案是,不一定。原因嘛,抓个包就知道了。我们用 curl 命令触发一下!


			
		

	





	

		

			

				
					
openssl sni

				
			

			

				

					07-29
				

			

		

		

			
				
OpenSSL SNI(Server Name Indication)是一种TLS扩展,它允许客户端在发送初始TLS握手时指定要连接的服务器的主机名。这个扩展允许在同一个IP地址上运行多个TLS加密的网站,而无需为每个网站分配独立的IP地址。通过...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 2

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值