Dapatkan maklumat TLS daripada pelanggan

editor php Baicao akan memperkenalkan anda cara mendapatkan maklumat TLS daripada pelanggan. Semasa proses pembangunan laman web, mendapatkan maklumat TLS pelanggan adalah sangat penting untuk melaksanakan beberapa fungsi berkaitan keselamatan. TLS ialah protokol penyulitan yang digunakan untuk menjamin komunikasi rangkaian. Dengan mendapatkan maklumat TLS pelanggan, kami boleh mendapatkan maklumat sijil pelanggan, algoritma penyulitan, panjang kunci dan maklumat lain yang berkaitan, dengan itu meningkatkan keselamatan tapak web. Dalam artikel berikut, kami akan menerangkan secara terperinci cara mendapatkan maklumat TLS daripada pelanggan dan cara menggunakan maklumat ini untuk meningkatkan keselamatan tapak web.

Kandungan soalan

pakej net/http go mempunyai permintaan jenis yang mentakrifkan simpan ConnectionState 的字段 TLS。不过，描述中的最后一条语句表示它被 HTTP 客户端忽略。我在调试时也检查过，它是 nil.

Saya perlu mendapatkan nilai TLSUnique dari keadaan sambungan itu (atau di tempat lain) supaya saya boleh memasukkannya dalam permintaan sijil saya (aka CSR) sebelum saya boleh mendaftar/menghantarnya ke pelayan.

Pelayan di luar skop soalan saya. Apa yang saya pentingkan ialah pelanggan.

Pelayan kemudiannya menerima permintaan dan menyemak tandatangan CSR serta nilai unik TLS, membuktikan bahawa pelanggan yang mewujudkan sambungan TLS adalah pelanggan yang sama yang menandatangani CSR.

Ini daripada RFC 7030 - Seksyen 3.5 (Protokol EST)

[Apa yang saya gunakan]

Saya sedang bereksperimen dengan pakej GlobalSign EST Go, tetapi ia nampaknya tidak menyertakan fungsi ini.

Pelanggan EST mereka nampaknya mencipta klien http untuk setiap operasi EST, saya fikir saya boleh mengubah tingkah laku ini dan mempunyai satu pelanggan untuk menghantar semua permintaan.

Walau bagaimanapun, memandangkan pelanggan menerima antara muka RoundTripper, saya tidak boleh menggunakan maklumat sambungan asas di luar pelaksanaan.

Penyelesaian

Satu pendekatan memerlukan membuat beberapa perubahan kecil pada pakej EST simbol global.

Seperti yang saya katakan sebelum ini, pelaksanaan semasa mencipta klien http baharu untuk setiap operasi EST (CACerts, CSRAttrs, Enroll, dll.)

1- Mari gunakan klien http untuk semua operasi EST.
2- Sama ada cara, kita perlu menelefon untuk mendapatkan sijil CA sebelum mendaftar CSR.
3- Respons http kepada sebarang permintaan pelanggan akan mendedahkan medan http.Response.TLS.TLSUnique.
4- Minta pelanggan memasukkannya dalam permintaan sijil, menandatanganinya dan mendaftarkannya.

Apabila saya memikirkan tentang pakej EST simbol globaldan sebab mereka memilih untuk mencipta klien http baharu setiap kali.
(Melainkan hanya menunggu contoh untuk digunakan mengikut kehendak pengguna)

Atas ialah kandungan terperinci Dapatkan maklumat TLS daripada pelanggan. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!