Rustls 0.23.24 版本发布：强化证书错误处理与安全性改进

Rustls 是一个纯 Rust 实现的高性能 TLS 库，以其安全性和现代化设计著称。作为 OpenSSL 的替代方案，Rustls 提供了更简洁的 API 和更安全的默认配置，广泛应用于 Rust 生态系统中需要安全通信的场景。

更详细的证书错误报告

新版本显著改进了证书错误报告机制，使得开发者能够更容易诊断常见的 TLS 证书问题。当使用 std::fmt::Display 格式化 rustls 的 Error 类型时，会自动获得更详细的错误信息，包括：

• 证书名称不匹配（如访问 wrong.host.badssl.com 时，会明确指出证书仅适用于 *.badssl.com 和 badssl.com）
• 证书过期等常见问题

新的错误报告机制引入了 CertificateError::NotValidForNameContext 等变体，相比之前的 CertificateError::NotValidForName 提供了更丰富的上下文信息。原有的错误变体仍然可用，确保向后兼容。

无缓冲 API 的 KTLS 支持

0.23.24 版本通过新增 dangerous_extract_secrets() 方法，为使用无缓冲 API 的开发者提供了内核 TLS (KTLS) 支持。这一特性由贡献者 @edef1c 实现，允许高性能应用更直接地利用操作系统提供的 TLS 加速功能。

重要安全行为变更

新版本对会话恢复机制做出了重要安全改进：

1. 客户端变更：现在会阻止在不同 ClientConfig 配置之间共享会话恢复，除非这些配置共享相同的服务器证书验证和客户端认证凭据。开发者需要确保共享恢复存储的客户端配置在这些安全相关配置上保持一致。

2. 服务器端建议：文档新增了对服务器配置共享恢复存储的警告，建议开发者仔细评估跨配置共享恢复存储的安全影响。

性能与稳定性改进

• 修复了无缓冲连接在 next_record() 函数中的数据消费问题（修复 #2031）
• 针对使用 aws-lc-rs fips 功能的用户优化了构建速度
• 改进了 TLS 1.3 兼容会话 ID 在 TLS 1.2 中的处理
• 减少了握手消息往返，优化了性能

开发者体验提升

• 文档多处改进，包括更清晰的跨配置恢复存储使用指南
• 错误处理更加友好，帮助开发者快速定位问题
• 代码质量改进，包括 Clippy 1.85 的适配和覆盖率优化

升级建议

对于现有项目，建议测试新版本以确保兼容性，特别是：

1. 检查自定义证书验证逻辑是否依赖旧的错误变体
2. 评估会话恢复共享配置是否符合新的安全要求
3. 无缓冲 API 用户可考虑利用新的 KTLS 支持

Rustls 0.23.24 通过更清晰的错误报告和更严格的安全默认值，继续巩固其作为 Rust 生态中最安全、最可靠的 TLS 实现的地位。