查看源代码 TLS/DTLS 协议概述

目的

传输层安全 (TLS) 及其前身安全套接字层 (SSL) 是旨在为计算机网络提供通信安全的加密协议。这些协议使用 X.509 证书和公钥（非对称）密码术来验证与之通信的对方，并交换用于有效负载加密的对称密钥。该协议提供数据/消息机密性（加密）、完整性（通过消息身份验证码检查）和主机验证（通过证书路径验证）。DTLS（数据报传输层安全）基于 TLS，但面向数据报而不是面向流。

Erlang 支持

Erlang SSL 应用程序实现了当前支持的 TLS/DTLS 协议版本，请参阅 ssl 手册页。

默认情况下，TLS 通过 TCP/IP 协议运行，即使您可以使用与 Kernel 中的 gen_tcp 模块具有相同应用程序编程接口 (API) 的任何其他可靠传输协议。DTLS 默认通过 UDP/IP 运行，这意味着应用程序数据没有交付保证。未来的版本可能会支持其他传输，例如 SCTP。

如果客户端和服务器想要使用升级机制（例如 RFC 2817 定义的机制）将常规 TCP/IP 连接升级到 TLS 连接，则 Erlang SSL 应用程序 API 支持此功能。这对于例如在同一端口上支持 HTTP 和 HTTPS 以及实现虚拟主机非常有用。请注意，这仅是 TLS 的一项功能。

安全概述

为了实现身份验证和隐私，客户端和服务器在传输或接收任何数据之前会执行 TLS/DTLS 握手过程。在握手期间，它们就协议版本和加密算法达成一致，使用公钥密码术生成共享密钥，并可以选择使用数字证书相互验证。

数据隐私和完整性

对称密钥算法只有一个密钥。该密钥既用于加密也用于解密。与公钥算法（使用两个密钥，一个公钥和一个私钥）相比，这些算法速度很快，因此通常用于加密批量数据。

对称加密的密钥是为每个连接唯一生成的，并且基于 TLS/DTLS 握手中协商的密钥。

TLS/DTLS 握手协议和数据传输在 TLS/DTLS 记录协议之上运行，该协议使用键控哈希消息身份验证码 (MAC) 或基于哈希的 MAC (HMAC) 来保护消息数据的完整性。来自 TLS RFC：“消息身份验证码是从消息和一些秘密数据计算出的一种单向哈希值。在不知道秘密数据的情况下，很难伪造它。其目的是检测消息是否被篡改。”

数字证书

证书类似于驾驶执照或护照。证书的持有者称为主体。该证书使用证书颁发者的私钥签名。信任链的建立方式是，颁发者又由另一个证书认证，依此类推，直到您到达所谓的根证书，该证书是自签名的，即由其自身颁发。

证书仅由证书颁发机构 (CA) 颁发。世界上少数顶级的 CA 颁发根证书。您可以通过点击 Web 浏览器的菜单来检查其中的几个证书。

对等身份验证

对等身份验证通过 RFC 3280 中定义的公钥路径验证来完成。这基本上意味着以下内容：

• 证书链中的每个证书都由前一个证书颁发。
• 证书属性有效。
• 根证书是存在于对等端维护的受信任证书数据库中的受信任证书。

服务器始终在 TLS 握手过程中发送证书链，但客户端仅在服务器请求时发送证书链。如果客户端没有适当的证书，它可以向服务器发送“空”证书。

客户端可以选择接受一些路径评估错误，例如，Web 浏览器可以询问用户是否接受未知的 CA 根证书。但是，服务器如果请求证书，则不接受任何路径验证错误。如果服务器要接受或拒绝作为证书请求响应的“空”证书，则是可配置的。

TLS 会话 - TLS-1.3 之前

来自 TLS RFC：“TLS 会话是客户端和服务器之间的关联。会话由握手协议创建。会话定义了一组加密安全参数，这些参数可以在多个连接之间共享。会话用于避免为每个连接进行昂贵的新安全参数协商。”

默认情况下，会话数据由 SSL 应用程序保存在内存存储中，因此会话数据在应用程序重新启动或接管时会丢失。如果需要持久数据存储，用户可以定义自己的回调模块来处理会话数据存储。当会话数据库超出其限制或在保存 24 小时后（RFC 最大生存期建议）时，会话数据也会失效。可以配置会话数据的保存时间。

默认情况下，TLS/DTLS 客户端尝试重用可用的会话，并且默认情况下，当客户端请求时，TLS/DTLS 服务器同意重用会话。另请参阅 TLS-1.3 之前的会话重用

TLS-1.3 会话票证

在 TLS 1.3 中，会话重用被基于先前共享密钥概念的新会话票证机制所取代。此机制也废弃了此应用程序未实现的 RFC5077 中的会话票证。另请参阅 TLS-1.3 中的会话票证和会话恢复