我正在使用客户端证书从 Node 应用程序建立 HTTPS 连接:
var options = {
hostname: 'https://my-server.com',
port: 443,
path: '/',
method: 'GET',
key: fs.readFileSync('client1-key.pem'),
cert: fs.readFileSync('client1-crt.pem'),
ca: fs.readFileSync('ca-crt.pem') };
var req = https.request(options, res => {
[...]
});
一切都运行正常,但我想添加代码以确保仅允许TLS 1.2连接。我找不到在https.agent选项或其他地方配置此项的方法。是否可以配置此项,还是必须建立连接,然后使用以下内容之类的查询协议版本:
res.socket.getProtocol() === 'TLSv1.2'
如果协议不符合要求,则中止连接?
首先我找到了有关制作HTTPS请求的文档。它提到您可以向tls.connect()传递其他选项,其中包括称为secureProtocol的东西。深入挖掘tls.connect(),我找到了secureContext选项,它提到tls.createSecureContext()。最后,在那里它终于提到了secureProtocol,它可以用来指定OpenSSL页面中的字符串。我选择了一个看起来合理的字符串(TLSv1_2_method)并将secureProtocol选项直接传递给https.request。
这将使用给定的secureProtocol打印SSL版本:TLS 1.2,并使用secureProtocol:“TLSv1_1_method”打印SSL版本:TLS 1.1。如果无法使用给定的TLS版本建立连接,则会调用末尾的错误处理程序。
var https = require('https')
var options = {
hostname: 'www.howsmyssl.com',
port: 443,
path: '/a/check',
method: 'GET',
secureProtocol: "TLSv1_2_method"
}
https.request(options, res => {
let body = ''
res.on('data', d => body += d)
res.on('end', () => {
data = JSON.parse(body)
console.log('SSL Version: ' + data.tls_version)
})
}).on('error', err => {
// This gets called if a connection cannot be established.
console.warn(err)
}).end()
关于此解决方案的最新更新,几年已经过去,一些事情已经改变。
现在 Node 文档推荐使用 minVersion 和 maxVersion 代替 secureProtocol,因为后者已成为选择 TLS 协议版本的旧机制,所以您可以通过使用 minVersion: "TLSv1.2" 来获得相同的结果:
var https = require('https')
var options = {
hostname: 'www.howsmyssl.com',
port: 443,
path: '/a/check',
method: 'GET',
minVersion: "TLSv1.2",
maxVersion: "TLSv1.2"
}
...
tls 库:const tls = require('tls');
tls.DEFAULT_MIN_VERSION = 'TLSv1.2';