Rustls项目中的TLS证书时间验证问题解析

问题背景

在使用Rustls库进行TLS连接时，开发者可能会遇到两种常见错误：

1. AlertReceived(HandshakeFailure) - 握手失败
2. InvalidCertificate(NotValidYet) - 证书尚未生效

这些问题在嵌入式系统(如ESP32)上尤为常见，因为它们通常没有内置的实时时钟(RTC)功能。

问题分析

握手失败(HandshakeFailure)

当客户端尝试通过IP地址而非域名建立TLS连接时，Rustls不会发送SNI(Server Name Indication)扩展。许多现代服务器要求SNI扩展才能完成握手，否则会主动终止连接并返回握手失败错误。

解决方案是确保使用完整的域名而非IP地址进行连接，例如：

Url::parse("wss://rococo-contracts-rpc.polkadot.io:443")

证书时间验证问题(NotValidYet)

TLS证书包含有效期的起止时间。Rustls会验证当前时间是否在证书的有效期内。在ESP32等嵌入式设备上，如果没有正确同步系统时间，会导致时间验证失败。

解决方案

对于ESP32设备，需要实现以下步骤：

1. 初始化网络时间协议(NTP)客户端

let ntp = EspSntp::new_default().unwrap();

2. 等待时间同步完成

while ntp.get_sync_status() != SyncStatus::Completed {}

3. 建立TLS连接

let (sender, receiver) = WsTransportClientBuilder::default()
    .use_webpki_rustls()
    .build(Url::parse("wss://example.com:443").unwrap())
    .await.unwrap();

技术深入

Rustls通过webpki库进行证书验证，其中包含对证书有效期的严格检查。在嵌入式环境中，开发者需要注意：

1. 时间同步机制：嵌入式设备通常没有电池供电的RTC，每次启动时都需要重新获取时间。

2. 备用时间源：除了NTP，还可以考虑使用GPS、RTC模块或其他可信时间源。

3. 自定义时间提供者：Rustls提供了TimeProvider trait，允许开发者实现自己的时间源，这在特殊环境下非常有用。

最佳实践

1. 始终使用域名而非IP地址建立TLS连接
2. 在嵌入式设备启动时立即同步时间
3. 实现时间同步状态监控
4. 考虑添加备用时间同步机制
5. 在开发阶段增加时间验证相关的日志输出

通过遵循这些实践，可以确保Rustls在嵌入式环境中的可靠运行，避免因时间问题导致的TLS连接失败。