security - 如果客户端已经有服务器证书，SSL 握手/协议(protocol)如何工作？

Question

我在 SSL/TLS 协议(protocol)和 OpenSSL 库方面的经验非常有限。基本上我这周开始学习它，但我为迄今为止所学的知识量感到自豪。

虽然我确实有一个挥之不去的问题，但一直无法找到答案。我已经尝试使用谷歌搜索并查看其他可用资源，但似乎我不知道如何正确地提出我的问题。它与握手过程有关，如果客户端已经拥有服务器证书会怎样？

我了解握手的初始部分涉及以下高级步骤:

1. 客户端发送问候消息
2. 服务器用自己的问候消息响应
3. 服务器发送证书
4. 客户端验证服务器证书
5. 服务器发送消息表示协商完成

我似乎无法弄清楚当客户端已经拥有服务器证书时此过程将如何工作。我知道 session ID 可用于恢复握手，其中仅发送问候消息，然后在加密此消息后声明任何数据的消息，从而避免在非对称握手中生成 key 。但是使用这些 session ID 对我来说似乎不是一个好主意，因为基本上它们必须持续很长时间，这可能会带来安全问题(我不知道如何，但持续很长时间似乎很糟糕session id。也许我弄错了)。我认为该行为可能类似于网络浏览器的行为，但未能找到有关该道路的任何信息。

我去看了 OpenSSL API 做了一些研究，它也留下了挥之不去的问题。 API方法:

int SSL_CTX_use_certificate_file(SSL_CTX *ctx, const char *file, int type);

当初始化/设置我所有的 OpenSSL 结构时，我认为这将是服务器证书文件，如果它已经存在的话。但我做了进一步的研究，它可以用于客户端和服务器应用程序。因此，如果我是客户端并且还没有服务器证书，我是否会在调用 SSL_connect() API 进行 SSL 握手之前放弃使用上述 API 方法？我想如果是这种情况，我也会以某种方式使用 OpenSSL API 来保存服务器证书吗？

感谢阅读我的帖子。感谢您提供的任何帮助/指导/指示。如果我的问题/想法不清楚，请告诉我，我会尽力澄清。

Answer 1

您似乎将缓存证书(“客户端已经拥有服务器证书”)与缓存连接状态(“避免在非对称握手中生成 key ”)混为一谈。

缓存服务器证书当然没有安全问题。您如何获得该证书并不重要，因为它完全是公开信息；它的目的是向您传达服务器的公钥。 key 协商只有在服务器有相应私钥的情况下才会起作用，无论您是如何获得证书的。

但是，我不知道 OpenSSL API(或 SSL 协议(protocol)，就此而言)是否允许您假设您已经拥有服务器的证书并跳过握手的那部分。正如您已经了解的那样，SSL_CTX_use_certificate_file() 是您在客户端上调用的，用于识别客户端 证书。 Web 服务器将调用它来识别自己的服务器证书。它不是用于识别客户端上的服务器证书，反之亦然。

至于重新使用现有 session ID(完全跳过 key 生成)，这也非常安全。至少，它不比拥有长生命周期的 SSL 连接差。如果有人发现了这个问题，那么这个结果值得一个博士学位。至少。

[恢复 session 的更新]

Section 7.3 of RFC 5246概述了 SSL 握手，包括恢复 session 的情况。恢复 session 意味着您可以跳过交换和验证证书并直接跳转到加密 session ，从 ChangeCipherSpec 消息开始协商 key 。

顺便说一句，我认为在实践中恢复 SSL session 并不常见。握手并不那么慢，而且保持状态很烦人。据我所知，Web 浏览器和服务器通常不使用此功能；他们只是在每个 SSL 连接上进行完整的握手。