你好,我想在客户端使用SSLV23方法支持多个版本的TLS。但是我无法连接,出现以下错误:
SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure
请问有人能告诉我如何使用openssl支持多个版本的TLS吗?
SSLV23代码片段(不起作用):
cctx = SSL_CTX_new(SSLv23_client_method());
if(cctx) {
SSL_CTX_set_options(cctx, SSL_OP_NO_SSLv3);
}
仅支持TLS V1(可用)
cctx = SSL_CTX_new(TLSv1_client_method());
根据您的标签和评论,我认为您只想要TLS连接。客户端应该只发起TLS连接。如果是这样,为什么您还坚持使用SSLv23_client_method呢?但在我的测试中,以下内容确实发送了TLS 1.0客户端hello:
ctx = SSL_CTX_new(SSLv23_client_method());
SSL_CTX_set_options(ctx,SSL_OP_NO_SSLv3);
/* Exclude SSLv2 and SSLv3 */
ctx = SSL_CTX_new(TLSv1_client_method());
SSL_CTX_set_options(ctx, SSL_OP_NO_SSLv2);
SSL_CTX_set_options(ctx,SSL_OP_NO_SSLv3);
/* Exclude SSLv2, SSLv3 and TLS 1.0 */
ctx = SSL_CTX_new(TLSv1_1_client_method());
SSL_CTX_set_options(ctx, SSL_OP_NO_SSLv2);
SSL_CTX_set_options(ctx,SSL_OP_NO_SSLv3);
SSL_CTX_set_options(ctx,SSL_OP_NO_TLSv1);
/* Exclude SSLv2, SSLv3 ,TLS 1.0 and TLS 1.1 */
ctx = SSL_CTX_new(TLSv1_2_client_method());
SSL_CTX_set_options(ctx, SSL_OP_NO_SSLv2);
SSL_CTX_set_options(ctx,SSL_OP_NO_SSLv3);
SSL_CTX_set_options(ctx,SSL_OP_NO_TLSv1);
SSL_CTX_set_options(ctx,SSL_OP_NO_TLSv1_1);
您可以将选项进行OR运算,并一次性传递给SSL_CTX_set_options。
SSLv23_client_method()出现了问题。在OpenSSL 1.0.2中,它是一个通用的调用协议回退函数。你可以使用所有的SSL_OP_NO_*选项。请参阅手册。 - reichhart
TLSv1_client_method()呢?顺便说一下,你展示的代码在我的测试中确实导致了 TLS1.0 连接。 - PrabhuSSL_OP_NO_SSLv2 | SSL_OP_NO_SSLv3作为上下文选项。您应该使用SSL_OP_NO_COMPRESSION禁用压缩。由于您正在使用TLS 1.0及以上版本,因此还应设置SNI的服务器名称。另请参见OpenSSL维基上的SSL/TLS客户端。 - jww