Mongoose项目中使用MbedTLS 3.6时TLS握手失败问题分析

在Mongoose网络库的单元测试中发现了一个与MbedTLS 3.6版本相关的TLS握手失败问题。该问题主要出现在MacOS环境下，测试用例会返回错误代码-0x6c00或-0x2700，导致HTTPS连接无法建立。

通过深入分析，我们发现问题的根源在于MbedTLS 3.6版本对TLS 1.3协议的处理方式发生了变化。具体表现为当使用MBEDTLS_SSL_VERIFY_NONE选项（即不验证CA证书）时，如果目标服务器使用TLS 1.3协议，MbedTLS仍然会要求提供CA证书，从而导致握手失败。

这个问题在MbedTLS 3.5.2及更早版本中并不存在，说明这是3.6版本引入的行为变更。值得注意的是，该问题在Ubuntu 22.04环境下不会出现，这可能是因为Ubuntu使用的MbedTLS版本不同或者系统配置差异所致。

对于开发者而言，遇到类似问题时可以考虑以下几种解决方案：

1. 降级到MbedTLS 3.5.2版本
2. 在代码中显式调用psa_crypto_init()函数（MbedTLS 3.x版本要求）
3. 确保提供有效的CA证书而不是使用VERIFY_NONE选项
4. 强制使用TLS 1.2协议而非TLS 1.3

这个问题提醒我们，在使用加密库时需要特别注意版本间的行为差异，特别是在安全相关的功能上。对于网络库开发者来说，保持对底层加密库版本变化的敏感性非常重要，需要及时调整代码以适应新版本的要求。

在实际开发中，建议对TLS相关功能进行充分的跨版本测试，特别是在升级依赖库时，要全面验证所有安全相关的功能是否仍然正常工作。