SSL协议支持

Question

如果我使用特定的SSL协议版本连接到服务器，但在该协议下没有提供密码套件，那么该协议是否仍然被认为是支持的？

例如，使用SSLv2连接到服务器:服务器接受我的SSLv2客户机-hello，但是在响应中不支持密码套件。SSLv2是不安全的，永远不应该被支持，但是如果协议被启用并且没有密码套件可用，这是否仍然被认为是支持的？

Answer 1

如果您能够成功地使用此协议版本完成TLS握手，则认为支持协议版本。由于成功的握手包括需要密码的密钥交换，因此如果找不到通用密码，则不算成功。

Answer 2

如果您的客户端是按照规范实现的，如果它在服务器hello中没有接收到匹配的密码，它就应该中止。

在SSL2.0 1中，如下所示：

无密码错误当客户端找不到它支持的密码或密钥大小时，该错误将由客户端返回给服务器。此错误不可恢复。

在TLS 1.2 2中，如下所示：

handshake_failure接收handshake_failure警报消息表示，如果有可用的选项，发送方无法协商一组可接受的安全参数。这是一个致命的错误。

1

2

Answer 3

不是的。

SSL/TLS对协议版本的决定如下：

• 客户端发送包含客户端支持的最高SSL/TLS版本的ClientHello消息。
• 服务器将其最大支持的SSL/TLS版本与客户端支持的版本进行比较，并尝试选择客户机和服务器支持的最高版本。
• 如果选择了适当的版本，则在ServerHello消息中将其发回。如果没有，则使用错误消息关闭连接。

在客户端试图使用SSLv2的情况下，初始ClientHello数据包将报告最大版本为SSLv2。如果服务器不支持SSLv2，那么它将拒绝连接。如果您的客户端在ClientHello中报告了一个更受支持的版本，那么服务器将不会使用任何SSLv2密码套件进行响应，因此不可能建立SSLv2连接。