Erlang/OTP 27 中 TLS 1.2 握手失败问题分析与解决方案

在 Erlang/OTP 27 版本中，开发者可能会遇到一个与 TLS 1.2 握手相关的问题：当尝试使用 :ssl.connect 建立安全连接时，连接会在握手阶段意外关闭，而在 OTP 26 版本中相同的代码却能正常工作。本文将深入分析这一问题的原因，并提供有效的解决方案。

问题现象

当开发者尝试使用 OTP 27 连接特定服务器（如示例中的 'nfe.prefeitura.sp.gov.br'）时，SSL 连接会在握手阶段立即关闭，返回 {:error, :closed} 错误。通过调试日志可以看到，客户端成功发送了 ClientHello 消息，但随后连接就被终止了。

相比之下，在 OTP 26 中，相同的代码能够顺利完成整个 TLS 握手过程，包括：

1. 客户端发送 ClientHello
2. 服务器响应 ServerHello
3. 证书交换
4. 密钥交换
5. 最终建立安全连接

根本原因

经过深入分析，发现这一问题的根源在于 OTP 27 对默认密码套件列表进行了调整。具体来说：

1. 密码套件变更：OTP 27 移除了部分被认为安全性较低或不再推荐的密码套件
2. 兼容性影响：某些服务器可能仍然依赖这些被移除的密码套件
3. 协商失败：当客户端提供的密码套件列表中没有服务器支持的选项时，服务器会直接关闭连接

在示例中，服务器期望使用的 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 密码套件在 OTP 27 的默认列表中不再包含，导致握手失败。

解决方案

针对这一问题，开发者有以下几种解决方案：

1. 显式指定所有支持的密码套件

:ssl.connect('nfe.prefeitura.sp.gov.br', 443, [
  certfile: 'priv/static/certificates/cert.crt', 
  keyfile: 'priv/static/certificates/cert.key', 
  password: 'REDACTED', 
  verify: :verify_none, 
  versions: [:"tlsv1.2"], 
  ciphers: :ssl.cipher_suites(:all, :"tlsv1.2")
])

这种方法最为全面，包含了所有 TLS 1.2 支持的密码套件，确保最大兼容性。

2. 仅添加必要的密码套件

如果知道服务器具体需要哪些密码套件，可以只添加必要的：

ciphers: ["TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384" | :ssl.cipher_suites(:default, :"tlsv1.2")]

这种方法更加精确，避免了启用不必要的密码套件。

3. 升级服务器配置

长期来看，最佳实践是升级服务器配置，使用更现代的、被广泛支持的密码套件，如基于 GCM 的套件而非 CBC 模式。

安全建议

虽然上述解决方案可以解决问题，但在生产环境中使用时应注意：

1. 尽量避免使用 verify: :verify_none，这会使连接容易受到中间人攻击
2. 定期检查服务器支持的密码套件，淘汰不安全的选项
3. 考虑逐步迁移到 TLS 1.3，它提供了更好的安全性和性能

总结

Erlang/OTP 27 对默认密码套件的调整反映了安全最佳实践的发展趋势，但在过渡期间可能会影响与某些旧系统的兼容性。开发者可以通过显式指定密码套件来解决这一问题，同时应规划向更安全配置的迁移。理解 TLS 握手过程和密码套件协商机制对于诊断和解决此类连接问题至关重要。