Rustls 0.23.24版本发布：增强证书错误报告与安全性改进

Rustls是一个纯Rust实现的现代化TLS库，以其安全性、性能和易用性而闻名。作为Rust生态系统中最受欢迎的TLS实现之一，Rustls提供了客户端和服务器端的TLS功能，支持TLS 1.2和1.3协议。

更详细的证书错误报告

在0.23.24版本中，Rustls显著改进了证书错误报告机制。现在当遇到常见的证书错误时，如名称不匹配或证书过期，错误信息会更加详细和有用。这一改进主要体现在：

1. 新增了CertificateError::NotValidForNameContext等错误变体，提供了更丰富的上下文信息
2. 默认情况下，通过std::fmt::Display格式化Error类型时就能看到这些改进后的错误信息
3. 保留了原有的错误变体（如NotValidForName、Expired等）以保持向后兼容

例如，当尝试连接到错误的域名时，现在会看到如下清晰的错误信息：

TLS error: invalid peer certificate: certificate not valid for name "wrong.host.badssl.com";
certificate is only valid for DnsName("*.badssl.com") or DnsName("badssl.com")

KTLS支持扩展

0.23.24版本通过引入dangerous_extract_secrets()方法，为无缓冲API用户提供了KTLS（内核TLS）支持。KTLS是一种将TLS处理卸载到内核的技术，可以提高性能并减少用户空间和内核空间之间的数据拷贝。

重要行为变更：会话恢复安全性增强

这一版本对会话恢复机制进行了重要改进，增强了安全性：

1. 客户端变更：现在客户端不会在不同ClientConfig之间共享会话恢复，除非它们也共享相同的服务器证书验证和客户端认证凭据。这意味着：

   • 如果多个ClientConfig共享同一个会话恢复存储
   • 但它们使用不同的服务器证书验证方法或客户端认证凭据
   • 那么它们之间将不会共享会话恢复

2. 服务器端建议：文档现在明确指出，如果多个ServerConfig共享会话恢复存储或票证生成器，应该确保它们也共享相同的安全相关配置。

这一变更提高了安全性，防止了潜在的安全边界跨越问题。

其他改进和修复

1. 无缓冲连接修复：修复了无缓冲连接在next_record()函数中的数据消费问题，确保数据在正确的时间点被消费。

2. 构建性能优化：针对使用aws-lc-rs fips功能的用户，显著提高了构建速度。

3. 代码质量改进：包括Clippy检查更新、文档改进、覆盖率标记等多项代码质量提升。

开发者注意事项

对于使用Rustls的开发者，升级到0.23.24版本时需要注意：

1. 如果处理CertificateError变体，需要考虑新增的错误变体
2. 如果共享会话恢复存储，需要确保相关安全配置的一致性
3. 无缓冲API用户现在可以使用dangerous_extract_secrets()来支持KTLS

这个版本的改进使Rustls在错误报告、安全性和性能方面都有了显著提升，是值得所有用户升级的版本。