ARMmbed/mbedtls项目中TLS 1.3客户端Hello解析问题分析

在ARMmbed/mbedtls项目的TLS 1.3实现中，发现了一个关于客户端Hello消息解析的重要问题。这个问题会影响TLS 1.2和TLS 1.3协议的兼容性处理，可能导致连接失败。

问题背景

TLS 1.3协议在设计上做了许多重大改变，其中之一就是移除了对压缩方法的支持。在TLS 1.2及更早版本中，客户端Hello消息包含一个legacy_compression_methods字段，用于协商压缩算法。而TLS 1.3规范明确要求这个字段必须为空（长度为零）。

mbedtls库在处理TLS连接时，会先尝试将传入的客户端Hello消息作为TLS 1.3消息解析。如果解析失败（例如因为这是一个TLS 1.2消息），才会回退到TLS 1.2的解析流程。这种设计是为了优先支持更新的协议版本。

问题描述

在ssl_tls13_parse_client_hello()函数中，代码假设legacy_compression_methods字段的长度总是为零，这符合TLS 1.3规范的要求。然而，当这个函数被用来处理TLS 1.2的客户端Hello消息时（在回退到TLS 1.2解析之前），legacy_compression_methods字段可能包含非零值。

当前实现没有正确处理这种情况，导致两个问题：

1. 函数不会按照预期将TLS 1.2消息正确地传递给后续处理流程
2. 由于错误地解析了压缩方法字段，后续数据的解析位置会出错

技术影响

这个问题会导致以下具体影响：

• 当接收到合法的TLS 1.2客户端Hello消息（包含非零压缩方法）时，服务器无法正确识别并回退到TLS 1.2协议
• 消息解析错误可能导致连接失败或安全参数协商错误
• 在混合TLS 1.2和TLS 1.3的环境中，可能造成兼容性问题

解决方案

正确的实现应该：

1. 在ssl_tls13_parse_client_hello()函数中检查legacy_compression_methods字段
2. 如果发现非零长度，应立即识别为TLS 1.2消息并返回相应状态码(SSL_CLIENT_HELLO_TLS1_2)
3. 确保后续处理流程能正确回退到TLS 1.2协议栈

这种修改保持了TLS 1.3的严格规范要求，同时正确处理了TLS 1.2的向后兼容性。

使用建议

对于使用mbedtls 3.6.0版本的用户，建议：

1. 关注官方补丁更新
2. 在配置中明确指定支持的TLS版本
3. 对于关键系统，考虑暂时禁用TLS 1.3支持，直到问题修复

这个问题虽然不会直接影响TLS 1.3连接的安全性，但可能导致服务不可用。开发人员应当重视并及时修复。