SSL 错误的解决方法

Question

我正在连接的 https 服务器的 SSL 实现中似乎存在错误； 问题最初出现在我的应用程序中，但我一直在使用 openssl 命令行实用程序调试/重现它，所以我相当确定此时它与我的应用程序无关。

如果我使用 -connect 以外的其他选项连接到远程服务器，OpenSSL 会发送 SSLv2 CLIENT-HELLO，服务器会响应 TLSv1 ServerHello，一切都会正常进行。

如果我使用 -ssl3 连接，OpenSSL 会发送 SSLv3 ClientHello，服务器会使用 SSLv3 ServerHello 进行响应，一切都很好。

但是，如果我使用 -no_ssl2 或 -tls1 连接，OpenSSL 会发送 TLSv1 ClientHello，并且服务器会响应 "TLS 1.0 Alert [length 0002], fatal unexpected_message”，这是我在应用程序中看到的原始问题。

此时有许多可能的解决方法，但我理想地寻找通用的东西，而不是特殊的这个特定服务器，所以我希望有某种“标准”的解决方法。

Answer 1

看来问题实际上是由 RFC 5077 会话票证扩展引起的； 禁用此功能（例如，通过将 -no_ticket 传递给 openssl）允许 TLSv1 ClientHello 与远程服务器成功。 由于我的应用程序中没有特别需要此扩展，因此此解决方法似乎是最合适的继续方法。

一些研究表明问题可能只是空会话票证扩展，但我没有费心去尝试找出该特定服务器是否存在非空会话票证问题。