Mbed TLS 3.6.3版本发布：TLS握手安全增强与性能优化

项目概述

Mbed TLS是一个开源的SSL/TLS加密库，专为嵌入式系统和物联网设备设计。它提供了SSL/TLS协议实现以及各种加密算法，具有轻量级、模块化和高度可配置的特点。Mbed TLS广泛应用于需要安全通信的场景，如智能家居、工业控制系统和移动设备等。

版本亮点

Mbed TLS 3.6.3是该长期支持分支(LTS)的最新版本，将至少支持到2027年3月。本次更新主要聚焦于安全修复和性能优化，特别是针对TLS握手过程中的关键安全问题。

安全增强

主机名验证强化

本次版本引入了一个重要的安全改进：在TLS客户端中，如果未调用mbedtls_ssl_set_hostname()函数且尝试基于证书进行服务器认证，握手过程将失败并返回MBEDTLS_ERR_SSL_CERTIFICATE_VERIFICATION_WITHOUT_HOSTNAME错误。这一改变解决了Daniel Stenberg报告的安全问题(CVE-2025-27809)，防止了服务器可能被错误识别的风险。

开发者可以通过两种方式恢复旧行为：

1. 调用mbedtls_ssl_set_hostname()并传入NULL作为主机名
2. 启用新的编译时选项MBEDTLS_SSL_CLI_ALLOW_WEAK_CERTIFICATE_VERIFICATION_WITHOUT_HOSTNAME

TLS 1.2握手修复

修复了TLS 1.2握手过程中的一个关键问题(CVE-2025-27810)。当计算Finished消息时发生内存分配失败或加密硬件故障，可能导致计算错误，从而影响TLS握手的安全保证。

新特性与改进

静态密钥槽支持

新增了MBEDTLS_PSA_STATIC_KEY_SLOTS配置选项，使用静态存储代替动态内存分配来管理密钥槽，实现了无malloc的密钥槽使用。每个缓冲区的大小由MBEDTLS_PSA_STATIC_KEY_SLOT_BUFFER_SIZE选项决定，默认情况下可容纳构建中启用的最大PSA密钥。

MD模块增强

MD(消息摘要)模块现在可以在MBEDTLS_PSA_CRYPTO_CLIENT && !MBEDTLS_PSA_CRYPTO_C配置下执行PSA分发，尽管这种配置并非官方支持。这需要链接支持所需PSA_WANT_ALG_xxx并在客户端接口实现psa_can_do_hash()的PSA加密提供程序库。

重要Bug修复

1. TLS 1.3兼容性：修复了当MBEDTLS_SSL_TLS1_3_COMPATIBILITY_MODE禁用时与启用中间盒兼容性的对等方工作的问题。

2. 网络连接处理：在mbedtls_net_bind和mbedtls_net_connect中使用mbedtls_net_close替代close，防止可能的双关闭文件描述符问题。

3. 碎片化握手消息：增加了对TLS(1.2和1.3)中碎片化握手消息的重新组装支持，解决了与某些服务器(特别是TLS 1.3)的握手失败问题。

4. AES-NI汇编优化：修复了GCC类编译器为通用x86_64目标构建AES时使用的AES-NI内联汇编中的约束缺失问题，防止在某些编译器优化下可能产生的错误代码。

5. PSA密钥派生：修复了psa_key_derivation_input_integer()在操作中止后未检测错误状态的问题。

性能优化

1. ECC密钥生成：优化了PSA ECC密钥生成性能，不再计算立即丢弃的公钥。

2. 内存清零：在PSA操作中使用的临时堆缓冲区在使用后立即清零，增强了安全性。

兼容性说明

1. MS-DOS DJGPP：修复了在此平台上的编译问题。

2. Visual Studio：移除了Everest Visual Studio 2010兼容性头文件，防止它们在不完整实现的情况下遮蔽标准CRT头文件。

3. 打印格式化：修复了MBEDTLS_PRINTF_SIZET定义，防止在Visual Studio 2013或MinGW构建的Mbed TLS副本上启用SSL调试时可能发生的运行时崩溃。

升级建议

所有用户都应在适当的开发周期内更新到此版本，以利用其中的安全修复和性能改进。特别是那些依赖TLS 1.2或1.3协议进行安全通信的应用，应优先考虑升级，以解决握手过程中的潜在安全问题。

对于嵌入式系统开发者，新的静态密钥槽功能提供了无动态内存分配的密钥管理方案，特别适合资源受限的环境。而TLS客户端开发者应特别注意新的主机名验证要求，确保应用的安全配置符合最佳实践。