Mbed TLS项目中TLS 1.3握手失败问题分析与解决方案

问题背景

在使用Mbed TLS的ssl_client1示例程序进行HTTPS请求时，开发者发现当尝试与特定服务器（api.sunrisesunset.io）建立TLS 1.3连接时会出现握手失败的问题。有趣的是，当强制使用TLS 1.2协议时，连接却能正常建立。这个问题揭示了Mbed TLS在TLS 1.3实现中的一些关键细节。

错误现象分析

初始错误表现为PSA加密模块的内部错误（错误代码-0x6c00），具体发生在尝试生成密钥的阶段。深入调试日志显示：

ssl_tls13_generic.c:1689: psa_generate_key() returned -27648 (-0x6c00)

这个错误表明PSA加密子系统未能正确初始化，而TLS 1.3握手过程依赖于此子系统。

根本原因

经过分析，问题根源在于：

1. TLS 1.3实现强制要求使用PSA加密API
2. 示例程序ssl_client1在默认配置下没有调用psa_crypto_init()初始化PSA子系统
3. 当协商TLS 1.3时，加密操作会失败，因为依赖的PSA子系统未就绪

相比之下，TLS 1.2可以不依赖PSA加密API，因此当强制使用TLS 1.2时连接能够成功建立。

解决方案

临时解决方案

对于使用Mbed TLS 3.x版本的用户，可以采取以下措施：

1. 在建立SSL连接前显式调用psa_crypto_init()
2. 或者配置使用TLS 1.2协议（不推荐长期方案）

mbedtls_ssl_conf_max_version(&conf, MBEDTLS_SSL_MAJOR_VERSION_3, MBEDTLS_SSL_MINOR_VERSION_3);

长期解决方案

Mbed TLS团队已经针对此问题采取了以下改进措施：

1. 在3.6.1版本中，TLS层会在可能协商TLS 1.3时自动调用psa_crypto_init()
2. 在4.0版本中，PSA加密将成为强制要求，所有TLS连接都需要初始化PSA子系统

证书验证问题

在解决PSA初始化问题后，开发者可能会遇到证书验证失败的新问题（错误代码-0x2700）。这是因为：

1. TLS 1.3不允许跳过服务器身份验证（与TLS 1.2不同）
2. 示例程序中使用的测试CA证书不适用于公共互联网服务器

解决方案是：

1. 为生产环境配置正确的CA证书链
2. 使用mbedtls_x509_crt_parse_file()或mbedtls_x509_crt_parse_path()加载证书
3. 通过mbedtls_ssl_conf_ca_chain()配置信任链

最佳实践建议

1. 生产代码中应始终进行完整的证书验证
2. 避免使用MBEDTLS_SSL_VERIFY_OPTIONAL模式，特别是在TLS 1.3中
3. 确保在使用任何TLS功能前正确初始化加密子系统
4. 为公共服务器连接配置适当的CA证书

总结

这个问题展示了TLS 1.3实现中的一些关键变化和注意事项。Mbed TLS团队已经通过版本更新解决了主要的可用性问题，但开发者仍需注意证书验证等安全相关的配置。理解这些底层机制有助于开发更安全、更可靠的TLS应用。