SSL和TLS-TLS 1.2

最新推荐文章于 2024-04-12 16:27:28 发布
最新推荐文章于 2024-04-12 16:27:28 发布
阅读量9.7k 收藏 10
点赞数
分类专栏: TLS 文章标签: TLS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43364172/article/details/83988580
版权

SSL和TLS-TLS 1.2

2008年,TLS 1.2(版本号是3.3)发布(RFC 5246)。
TLS 1.2最大的改变是它的扩展机制,允许不改变底层协议的情况下,增加附加功能。

TLS Extensions

客户端和服务器的hello消息里,可以增加一些扩展。这些扩展是向后兼容的。客户端可以调用一个TLS扩展,来扩展它的ClientHello消息,一个扩展了的ClientHello消息就是一个带附加的数据块(扩展列表)的普通的ClientHello消息。记住,这些附加的信息只能扩展ClientHello消息。这样的一个扩展了的ClientHello消息符合规范,不会破坏一个存在的TLS服务器。TLS服务器能接受这样的消息,即使它不理解这些扩展。如果服务器理解这些扩展,它就返回一个扩展了的ServerHello消息。
扩展了的ServerHello消息只能用来响应扩展了的ClientHello消息。
扩展列表的长度没有上限。
每个扩展的结构都相同,有两个属性,两个字节的type和变长的data(可以为空)。比如,一个客户端想初始化安全重新协商扩展,就在ClientHello消息后面附加五个字节(0xFF, 0x01, 0x00, 0x01和0x00)。前两个字节0xFF和0x01,是扩展的类型,接下来的两个字节0x00和0x01是扩展的长度,最后一个字节是扩展数据的内容0x00。
IANA维护TLS参数的注册。其中包括有效的TLS扩展类型。

TLS 1.2 Extension Types and Values

Extension Type Value Description
server_name 0 服务器名称
max_fragment_length 1 最大fragment长度协商
client_certificate_url 2 客户端证书URL
trusted_ca_keys 3 Trusted CA keys
truncated_hmac 4 截断的HMAC
status_request 5 证书状态请求
user_mapping 6 User mapping
client_authz 7 客户端认证
server_authz 8 服务器认证
cert_type 9 证书类型
elliptic_curves 10 椭圆曲线密码学
ec_point_formats 11
srp 12 SRP协议
supported_signature_algorithms 13 签名算法
use_srtp 14 SRTP的key建立
heartbeat 15 Heartbeat
application_layer-protocol_negotiation 16 协商应用层协议
status_request_v2 17 证书状态请求,版本2
signed_certificate_timestamp 18
client_certificate_type 19 原始公钥
server_certificate_type 20 原始公钥
encrypt_then_mac 22 使用EtA代替AtE
extended_master_secret 23 安全重新协商(revisited)
session_ticket 35 Session tickets
renegotiation_info 65281 安全重新协商

New TLS Alert Messages

Alert Code Description
unsupported_extension 110 发送者(总是客户端)通知接收方,ServerHello消息里有不支持的扩展。永远是fatal
certificate_unobtainable 111 发送者(总是服务器)通知接收方,不能读取CertificateURL里的证书(链)。可以是fatal
unrecognized_name 112 发送者(总是服务器)通知接收方,不认识ServerName扩展里的名称。可以是fatal
bad_certificate_status_response 113 发送者(总是客户端)通知接收方,收到了无效的证书状态响应。永远是fatal
bad_certificate_hash_value 114 发送者(总是服务器)通知接收方,证书hash与客户端提供的不匹配。永远是fatal

Server Name Indication

Virtual hosting技术是指同一台机器上部署多个服务,可能使用一个IP地址。假如一个用户在浏览器输入 www.esecurity.ch,一个DN

最低0.47元/天 解锁文章
此心光明-超然
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
scapy-ssl_tls-1.2.3.4.zip
04-11
使用python来解析加密数据包,可通过pycharm安装Scapy-ssl_tls库文件,但库文件经常会安装失败,因此需要考虑直接安装python对应版本的Scapy-ssl_tls库文件
TLS(v1.2)协议
qq_32076957的博客
03-02 1万+
TLS
SSL/TLS详解
最新发布
无线网络系统研究
04-12 2125
TLS,SSL,安全,key_share
SSLTLS-TLS 介绍
weixin_43364172的博客
11-08 3230
SSLTLS-TLS 介绍TLS PRFGeneration of Keying Material TLS协议在结构上与SSL协议相同。是一个客户端/服务器协议,运行在可靠的传输层协议之上,比如TCP。 和SSL一样,也由两层组成: 底层,是TLS record protocol fragments,可选压缩、加密保护高层协议数据。相应的数据结构叫TLSPlaintext、TLSCompres...
web容器获取SSL指纹实现和ByPass
dotNET跨平台
06-07 616
前言前段时间对SSL指纹的获取实现很感兴趣,从表面到深入再到实现让我更加深刻理解SSL设计。本篇介绍:SSL指纹在web容器(Kestrel)下如何获取,并实现一个Middleware来很...
RFC8446 TLS1.3中文版(5-7)
aashuii的博客
10-18 1329
RFC8446
HTTPS协议详解:TLS/SSL握手过程
麦峰强的博客
12-14 5910
1、握手与密钥协商过程 基于RSA握手和密钥交换的客户端验证服务器为示例详解TLS/SSL握手过程 再看一张手绘时序图(1).client_hello 在发送的 Client Hello 中会带上自己支持的加密算法,供服务端从中挑选。由于老旧客户端会支持一些不安全的加密算法,为了提高传输安全,通常会在服务端指定一个可用算法列表,最终使用的加密类型取决于二者的交集,并按服务端优先级取第一个;如果没...
HTTPS方式ETCD客户端连接提示bad certificate对应方法
热门推荐
知行合一 止于至善
03-23 2万+
本文memo一下HTTPS方式下ETCD证书生成时的一个小错误。
FreeRADIUS出现bad_certificate问题
weixin_34321977的博客
05-19 640
在执行EAP-TLS认证过程中,可能会出现下面的错误(但是使用openssl验证证书却没有发现问题):rad_recv: Access-Request packet from host 192.168.1.100 port 60774, id=97, length=275 User-Name = "user@example.com" NAS-IP-Ad...
替换证书,造成bad_certificate
kyfxbl
09-24 4735
系统调用外部的web service,走https方式,今天测试人员自己替换了https证书之后,说调用不通了,我协助定位了一下,在此记录一下定位过程,作为记录 查看cxf日志,发现以下错误信息: javax.xml.ws.soap.SOAPFaultException: Received fatal alert: bad_certificate Caused by: org.apache.
Python 使用dpkt提取五元组
努力学习
02-11 2856
这个是在实习期间做的一个小程序,用来提取包的五元组。提取包可以用wireshark进行保存,也可以使用师兄开发的程序Streamdump进行抓包,格式为pcap 这个程序的目的是抓取五元组:目的IP,目的端口,源地址,源端口以及ServerName。也可以作其他修改,提取需要的东西。 存在一些奇怪的包是解析不出来的,那些奇怪的包我还以为是我的程序有错误,特意把包的地址放在了数据库字段中,经查阅确实...
SSL/TLS Inject-开源
06-01
- 添加 7 个选项模式 TLS *Auto *TLSv1.1 *TLSv1.2 *TLSv1.3 *SSLv2 *SSLv3 *SSHv2 - 改进激活密钥模式 - 新库 - 修复之前的日志错误 - 修复一些接口 #ChangeLog [G] SSL Injector V-1.5 - 添加 3 种模式连接 SNI ...
在Windows服务器上启用TLS 1.2及TLS 1.2基本原理介绍
09-30
最近由于Chrome40不再支持SSL 3.0了,GOOGLE认为SSL3.0已经不再安全了。所以也研究了一下SSL TLS加密,给大家分享一下
awesome-tls-hacks:SSLTLS 安全相关资源的集合
05-30
01 IETF TLS 工作组RFC 2246 TLS 1.1 2006-04 IETF TLS 工作组RFC 4346 TLS 1.2 2008-08 IETF TLS 工作组RFC 5246 TLS 1.3 2018-08 IETF TLS 工作组RFC 8446 SSL/TLS 黑客 密码问题 加拿大广播公司问题攻击名称发布...
tls-scan:互联网规模,快速的SSLTLS扫描器(非阻塞,事件驱动)
05-11
tls-scan帮助开发人员和安全工程师跟踪/测试/调试组织中服务器的证书和TLS配置。 特征 新增:支持TLSv1.3 TLS和StartTLS协议支持:SMTP,IMAP,POP3,FTPS,SIEVE,NNTP,XMPP,LDAP,RDP,POSTGRES,MYSQL 快速...
TLS 1.3详解
SkyChaserYu的博客
04-28 4859
he Transport Layer Security (TLS) Protocol Version 1.3 (draft-ietf-tls-tls13-20) 与TLS1.2的主要区别: 以下是TLS 1.2和TLS 1.3之间主要功能的差异列表。 它不是详尽的,有很多微小的区别。 支持的对称算法列表已被修改为所有被考虑保留的算法。 这些保留了所有使用AEAD算法。 加密套件概念已经被改变...
SSL negotiation failed: Secure connection truncated
sinat_29193161的博客
10-12 551
svn 更新出现SSL negotiation failed: Secure connection truncated问题,发现是固定ip无法使用,重新指定svn 为拨号的ip。再看svn 的host配置发现是通过rinetd端口转发 再修改 vim/etc/rinetd.conf 在启动服务就可以 这里需要注意的是 服务要先kill掉才能重启 killall rinetd rinetd -c /etc/rinetd.conf 解决问题!!!!撒花!!!!!????阿哈哈哈哈哈哈 ...
mbedTLS常用结构体
明潮的BLOG
12-07 4796
公钥算法mbedtls_pk_type_t /** * \brief Public key types */ typedef enum { MBEDTLS_PK_NONE=0, MBEDTLS_PK_RSA, MBEDTLS_PK_ECKEY, MBEDTLS_PK_ECKEY_DH, MBEDTLS_PK_ECDSA, MB
SSL / TLS 1.2 如何安装
06-07
在安装SSL/TLS 1.2之前,需要先确保您的操作系统和Web服务器支持SSL/TLS 1.2协议。在此之前,您需要了解您所使用的操作系统和Web服务器的版本和类型,以便正确地安装SSL/TLS 1.2。 下面是一些通用的步骤,用于在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值