在前一篇博客记一次Nginx产生RST的研究中我们主要分析了在内核层面产生RST的原因,本篇博客将从应用层分析一下原因,以及看一下如何避免这个问题。要关闭TCP链接,首先需要关闭TLS会话,因此我们先了解一下SSL关闭会话的一些特点。SSL Close Notify当一方发起ssl close notify的时候代表其已经不需要再发送数据了。意味着收到close notify的一方可以关闭接收了。从TLS1.0 到TLS1.2 的RFC都要求收到close notify的一方需要立刻回复clo »
背景在Linux EC2上部署了Nginx服务,前面加了一个AWS NLB,使用Route 53 Health Checker来对NLB进行健康检查,其原理是模拟发送HTTPS GET请求。NLB提供了客户端和服务端产生的RST指标,指标显示Linux产生了很多RST。初步分析虽然产生了RST,但不代表真的有影响。先从客户端,也就是Route53 Health Checker入手,发现所有的检查结果都是成功的,即可以获取到200状态码,那么看来虽然服务端产生了RST,但对客户端的访问没有影响。 »
学习完SSL,我们来看一下如何构建一个基于SSL的OpenVPN。OpenVPN一般提供客户端/服务器模式,也就是客户端连接到服务器端,可以访问服务器端,但服务器端无法主动访问客户端,这是通过隧道(tunnel)来实现的。大致流程是客户端对服务器发起SSL连接,连接建立后,所有流量通过SSL传输,OpenVPN还会加上特定的报头表示这是OpenVPN报文。有关OpenVPN的下载网站在https://www.techspot.com/downloads/5182-openvpn.html我这里 »
This article will introduce some special processes.Client AuthenticationGenerally client will validate server's certificates(chain). A non-anonymous server can optionally request a certificate from the client. This is mutual authentication.🤔I use Op »
Currently most of SSL handshakes would use ECDHE as key exchange algorithm. It supported PFS and also is more secure than RSA key exchange algorithm. I will show the handshake process with ECDHE-RSA-AES256-GCM-SHA384 and the version is TLS1.2. Becau »