Golang的TLS版本配置参数-排坑经历

一、背景

公司有个黑盒监控拨测组件,类似可以通过各种协议如HTTP、TCP、ICMP等等针对目标主机、目标IP、目标站点进行定时拨测,通过返回的状态码等信息来推断,目标业务系统/主机、站点是否存在异常,健康情况如何。

最近在配置一个HTTPS的拨测任务,就遇到了比较奇怪的现象。 之前拨测的HTTPS站点都是OK的,但是这个站点死活报错。报错信息如下:

tls: no supported version satisfy MinVersion and MaxVersion

程序是使用Golang写的。根据关键词提示,应该是TLS这块出现了问题。所以我针对这个情况进行了一下分析

二、分析过程

1、首先使用curl针对不同版本TLS进行探测,是否能正常访问

curl可以使用--tls1.0 、--tls1.1、--tls1.2 参数强制https请求使用对应的TLS版本。

从图中可以看到,这个站点比较特殊,可能是年代比较久远,签发的SSL证书只支持TLS1.0版本进行访问,其它版本无法建立SSL握手,否则报错。

由此断定,应该是我们程序出错了,毕竟curl使用--tls1.0没有报错,可以正常访问。

2、查看Golang源码关于tls.Config这个结构体的参数配置

根据错误信息提示"tls: no supported version satisfy MinVersion and MaxVersion", 我找到了golang的tls.Config这个结构体,同时看到了MaxVersion和MinVersion这2个属性。

这2个属性框定了,和HTTPS站点交互使用的TLS版本的范围。 并且MinVersion总是小于等于MaxVersion的.

注意: MinVersion默认是TLS1.2, 这里就是今天主角的坑点!!!!

查了下资料,Golang在不同版本,给MinVersion设置的默认值不一样。早期比较旧的Golang版本默认是TLS1.0, 后面的高版本就是TLS1.2了

3、验证下是否是因为MaxVersion、MinVersion设置错误导致的

Go 复制代码
func TestTls(t *testing.T) {
    tlsConfig := &tls.Config{
       MinVersion: tls.VersionTLS10,
       MaxVersion: tls.VersionTLS10,
    }

    // 使用自定义的 TLS 配置创建一个 HTTP 客户端
    client := &http.Client{
       Transport: &http.Transport{
          TLSClientConfig: tlsConfig,
       },
    }
    // 发送一个 GET 请求
    resp, err := client.Get("https://www.baidu.com")
    if err != nil {
       fmt.Println("Error:", err)
       return
    }
    defer resp.Body.Close()
    // 打印响应状态码
    fmt.Println("Response Status:", resp.Status)
}

1、首先,直接设置Maxversion为TLS1.0,符合我们程序的逻辑思路. MinVersion采用默认值

报错信息和文章开头的一模一样,果然没错!就是这个原因导致的。 MinVersion(TLS1.2)竟然大于了MaxVersion(TLS1.0), 不报错才怪。

2、那我再来验证,MinVersion到底是不是TLS1.2呢? 很简单,我直接把MinVersion设置为TLS1.0,看下代码还会报错吗?

明显,现在MinVersion <= MaxVersion, 逻辑正确, 代码也正常通过测试。 说明MinVersion默认就是TLS1.2

三、总结

关于tls.Config的MinVersion属性,我的修复建议就是强制写死默认最小版本是TLS1.0,不要依赖Golang给你设置MinVersion的值。 要不然就会造成上面我的这种情况,十分坑爹!

如果你设置的MinVersion是TLS1.0,MaxVersion怎么设置都不会报错的。因为至少MaxVersion都是TLS1.0了,还是满足条件: MinVersion <= MaxVersion

相关推荐
ZachOn1y12 小时前
计算机网络:应用层 —— 应用层概述
计算机网络·http·https·应用层·dns
网安墨雨18 小时前
iOS应用网络安全之HTTPS
web安全·ios·https
hkNaruto20 小时前
【P2P】【Go】采用go语言实现udp hole punching 打洞 传输速度测试 ping测试
golang·udp·p2p
入 梦皆星河20 小时前
go中常用的处理json的库
golang
低调之人1 天前
Fiddler勾选https后google浏览器网页访问不可用
前端·测试工具·https·fiddler·hsts
x66ccff1 天前
HTTPS如何通过CA证书实现安全通信,以及HTTPS的局限性
网络协议·安全·https
Graceful_scenery1 天前
https双向认证
服务器·网络·网络协议·http·https
海绵波波1071 天前
Gin-vue-admin(2):项目初始化
vue.js·golang·gin
每天写点bug1 天前
【go每日一题】:并发任务调度器
开发语言·后端·golang
一个不秃头的 程序员1 天前
代码加入SFTP Go ---(小白篇5)
开发语言·后端·golang