Golang的TLS版本配置参数-排坑经历

置顶 于 2024-07-31 15:08:24 发布
阅读量368 收藏 7
点赞数 15
分类专栏: golang 运维 文章标签: golang tls https ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xyz_dream/article/details/140822601
版权

一、背景

        公司有个黑盒监控拨测组件,类似可以通过各种协议如HTTP、TCP、ICMP等等针对目标主机、目标IP、目标站点进行定时拨测,通过返回的状态码等信息来推断,目标业务系统/主机、站点是否存在异常,健康情况如何。

        最近在配置一个HTTPS的拨测任务,就遇到了比较奇怪的现象。 之前拨测的HTTPS站点都是OK的,但是这个站点死活报错。报错信息如下:

tls: no supported version satisfy MinVersion and MaxVersion

      程序是使用Golang写的。根据关键词提示,应该是TLS这块出现了问题。所以我针对这个情况进行了一下分析

 二、分析过程

1、首先使用curl针对不同版本TLS进行探测,是否能正常访问

curl可以使用--tls1.0 、--tls1.1、--tls1.2 参数强制https请求使用对应的TLS版本。 

从图中可以看到,这个站点比较特殊,可能是年代比较久远,签发的SSL证书只支持TLS1.0版本进行访问,其它版本无法建立SSL握手,否则报错。

由此断定,应该是我们程序出错了,毕竟curl使用--tls1.0没有报错,可以正常访问。

2、查看Golang源码关于tls.Config这个结构体的参数配置

根据错误信息提示"tls: no supported version satisfy MinVersion and MaxVersion", 我找到了golang的tls.Config这个结构体,同时看到了MaxVersion和MinVersion这2个属性。

这2个属性框定了,和HTTPS站点交互使用的TLS版本的范围。 并且MinVersion总是小于等于MaxVersion的.

注意:   MinVersion默认是TLS1.2, 这里就是今天主角的坑点!!!!

查了下资料,Golang在不同版本,给MinVersion设置的默认值不一样。早期比较旧的Golang版本默认是TLS1.0, 后面的高版本就是TLS1.2了

3、验证下是否是因为MaxVersion、MinVersion设置错误导致的

func TestTls(t *testing.T) {
    tlsConfig := &tls.Config{
       MinVersion: tls.VersionTLS10,
       MaxVersion: tls.VersionTLS10,
    }

    // 使用自定义的 TLS 配置创建一个 HTTP 客户端
    client := &http.Client{
       Transport: &http.Transport{
          TLSClientConfig: tlsConfig,
       },
    }
    // 发送一个 GET 请求
    resp, err := client.Get("https://www.baidu.com")
    if err != nil {
       fmt.Println("Error:", err)
       return
    }
    defer resp.Body.Close()
    // 打印响应状态码
    fmt.Println("Response Status:", resp.Status)
}

1、首先,直接设置Maxversion为TLS1.0,符合我们程序的逻辑思路. MinVersion采用默认值

报错信息和文章开头的一模一样,果然没错!就是这个原因导致的。  MinVersion(TLS1.2)竟然大于了MaxVersion(TLS1.0), 不报错才怪。

2、那我再来验证,MinVersion到底是不是TLS1.2呢? 很简单,我直接把MinVersion设置为TLS1.0,看下代码还会报错吗?

明显,现在MinVersion <= MaxVersion, 逻辑正确, 代码也正常通过测试。 说明MinVersion默认就是TLS1.2

三、总结

        关于tls.Config的MinVersion属性,我的修复建议就是强制写死默认最小版本是TLS1.0,不要依赖Golang给你设置MinVersion的值。  要不然就会造成上面我的这种情况,十分坑爹!

        如果你设置的MinVersion是TLS1.0,MaxVersion怎么设置都不会报错的。因为至少MaxVersion都是TLS1.0了,还是满足条件: MinVersion  <= MaxVersion

GEEK JUMP
关注
  • 15
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
golang学习笔记(进阶篇)
lcynone的博客
01-13 581
Golang学习笔记_进阶篇
CentOS搭建Fabric-1.0
大壮的博客
03-21 4443
自2017年4月份fabric-1.0 alpha发布至今,fabric-1.0经历了alpha、alpha2、beta、rc1、1.0等版本。与fabric-0.6相比,fabric-1.0在架构和角色上发生很大变化,其节点类型分成peer、orderer、ca、client,因此,搭建fabric-1.0网络对于刚接触fabric的爱好者显得比较复杂。在对fabric-1.0各个版本进行搭建实...
Golang 开源项目2024年初盘点
jeansboy的专栏
01-02 1487
作为一名程序员, 我平时非常关注关于Go, Python, Java, C#和Javascript相关的一些开源项目, 这里我整理了一份目前最受欢迎的一些Golang开源项目
Golang
ychhaha的博客
04-04 620
Go语言是一门新型的静态类型的编程语言。使用Go语言不仅可以访问底层操作系统,还提供了强大的网络编程和并发编程支持。Go语言的用途多,可以进行网络编程,系统编程,并发编程和分布式编程等。Go语言的特性:① 语法简单 ② 工程结构简单 ③ 有垃圾回收机制 ④ 可以进行快速编译 ⑤ 拥有功能完善,质量可靠的标准库Go使用编译器编译代码。编译器将源代码编译成二进制(或字节码)格式,在编译代码时,编译器检查错误,优化性能并输出可在不同平台上运行的二进制文件。
client-go的Indexer三部曲之二:性能测试
程序员欣宸的博客
06-17 1542
同样是查询指定pod的信息,对比远程请求ap-server和Indexer本地获取数据两种方式,看到底有多大的性能差距
golang八股文整理(持续搬运)
热门推荐
qq_43716830的博客
04-26 3万+
1.Go语言——垃圾回收 Go V1.3之前的标记-清除: 1.暂停业务逻辑,找到不可达的对象,和可达对象 2.开始标记,程序找出它所有可达的对象,并做上标记 3.标记完了之后,然后开始清除未标记的对象。 4.停止暂停,让程序继续跑。然后循环重复这个过程,直到process程序生命周期结束 标记-清除的缺点: STW(stop the world):让程序暂停,程序出现卡顿 标记需要扫描整个heap 清除数据会产生heap碎片 为了减少STW的时间,后来对上述的第三步和第四步进行了替换。 Go V1.5
Golang GMP
hello_old_city的博客
05-18 361
前言 随着服务器硬件迭代升级,配置也越来越高。为充分利用服务器资源,并发编程也变的越来越重要。在开始之前,需要了解一下并发(concurrency)和并行(parallesim)的区别。 并发: 逻辑上具有处理多个同时性任务的能力。 并行: 物理上同一时刻执行多个并发任务。 通常所说的并发编程,也就是说它允许多个任务同时执行,但实际上并不一定在同一时刻被执行。在单核处理器上,通过多线程共享CPU时间片串行执行(并发非并行)。而并行则依赖于多核处理器等物理资源,让多个任务可以实现并行执行(并发且并行)
Golang 有料才能 够浪
右见小栈
01-30 1037
go 常用的包用法简介说明
Go 2.0 正式落地,已发生翻天覆地变化!
HollisChuang's Blog
12-24 5787
作者 | 柴树杉 责编 | 屠敏出品 | CSDN(ID:CSDNnews)回忆 2019 年,彼时年底在 Go 2.0 刚启动时,一场“黑天鹅事件”的突然到来,引发了全民抗疫。如今时隔三年之后的 2022 年 12 月,疫情全面放开的同时 Go 2.0 也正式落地了。希望通过这篇文章回顾下这 3 年来在周边和 Gopher 社区发生的巨大变化。当我们在谈 Go 2 时,究竟指的是什么...
条条大路通罗马 —— 使用 Go-Redis 连接 Amazon ElastiCache for Redis 集群
亚马逊云科技专栏
03-21 703
一、前言Amazon ElastiCache 是一种 Web 服务,可让用户在云中轻松设置、管理和扩展分布式内存数据存储或缓存环境。它可以提供高性能、可扩展且具有成本效益的缓存解决方案。同时,它可以帮助消除与部署和管理分布式缓存环境相关的复杂性。Amaozn ElastiCache for Redis 集群是一个或多个缓存节点的集合,其中所有节点都运行 Redis 缓存引擎软件的实例。Elasti...
基于golang1.10.3版本的go-ipfs-api
03-24
通过使用golang1.10.3版本,测试了官方的go-ipfs-api案例,已经下载了go-ipfs-api所需要的完整的工具包,设置了gopath后,通过go run main.go即可成功运行项目。
golang实现aes-256-cbc
02-21
Golang中实现AES-256-CBC(Advanced Encryption Standard with a 256-bit key in Cipher Block Chaining mode)是一种常见的加密方法,用于确保数据的安全性。然而,Golang的标准库`crypto/cipher`在处理密钥时...
pre-commit-golang:Golang的Pre-Commit钩子,支持模块
05-04
注意可以在找到更加充实的版本 # ========================================================================== # Golang Pre-Commit Hooks | https://github.com/tekwizely/pre-commit-golang # # !! ALL Hooks ...
golang简单tls协议用法完整示例
09-21
主要介绍了golang简单tls用法,分析了tls协议的使用步骤及客户端与服务器端的相关实现代码,需要的朋友可以参考下
golang-customimport:golang-customimport
02-04
golang custoimport演示 怎么跑 更改本地主机名以用于域使用 /etc/hosts add 127.0.0.1 rongdemo.com 开始打包元网站 或者您可以使用一些静态网络服务器 cd web yarn start 使用Dep管理软件包 dep ensure
gcc-golang-mingw64-9.0.rar
09-22
2. **解压并配置环境变量**:将压缩包`gcc-golang-mingw64-9.0.rar`解压后,将包含`bin`目录的路径添加到系统的`PATH`环境变量中。这样,系统在任何位置都能找到`gcc`命令。 3. **验证安装**:在命令行中输入`gcc -...
PHP绑定golang库php-go-master.zip
最新发布
06-06
2. Go:1.13或更高版本。 3. 编译工具:如GCC,用于编译C代码。 三、安装与配置 1. 获取源代码:首先,你需要从GitHub或其他源下载“php-go-master”库的源代码。 2. 安装Go依赖:运行`go get`命令获取库的依赖。 ...
golang-tls:简单的Golang HTTPSTLS示例
01-31
本篇文章将深入探讨Golang如何实现HTTPSTLS,并通过`golang-tls`这个项目来提供一个简单的示例。 首先,我们了解HTTPSHTTPS是一种基于HTTP协议的安全版本,它通过使用TLSSSL(Secure Sockets Layer)协议进行...
recastnavigation-go:将 recastnavigation 翻译成 golang 语言版本
05-15
recastnavigation-go将recastnavigation翻译成golang语言版本翻译内容基于 recastnavigation git版本: 18562383f4c5cffa0678c709049340516ebc5e40翻译:DetourDetourTileCache基准测试针对 c++原版 与 go翻译版本 ...
golang tcp tls
05-30
Go语言中提供了标准库中的net包来实现TCP协议的网络编程,同时也提供了crypto/tls包来实现TLS/SSL协议的加密通信。 使用net包实现TCP连接很简单,可以通过net.Dial函数来实现TCP连接。示例代码如下: ``` conn, err := net.Dial("tcp", "127.0.0.1:8080") if err != nil { // handle error } defer conn.Close() // do something with conn ``` 使用crypto/tls包实现TLS连接也很简单,可以通过tls.Dial函数来实现TLS连接。示例代码如下: ``` conn, err := tls.Dial("tcp", "127.0.0.1:8080", &tls.Config{ InsecureSkipVerify: true, }) if err != nil { // handle error } defer conn.Close() // do something with conn ``` 需要注意的是,TLS连接需要提供一个tls.Config对象来配置TLS连接的参数,其中InsecureSkipVerify表示是否跳过证书验证,这里为了方便演示设置为true,生产环境中应该设置为false并提供正确的证书链。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

GEEK JUMP

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值