open62541项目安全策略None模式下的证书校验问题解析

问题背景

在open62541 OPC UA开源库从1.3.15版本升级到1.4.8版本后，用户在使用SecurityPolicy为None模式连接某些OPC UA服务器时，会遇到"服务器证书与端点描述不匹配"的错误提示。这个问题主要出现在与Codabix、B&R、Bosch等工业设备的OPC UA服务器建立连接时。

问题现象

当客户端使用SecurityPolicy#None（无加密）模式连接服务器时，系统日志中会周期性出现以下错误信息：

The server certificate is different from the EndpointDescription

随后连接会被断开，需要重新建立连接。在某些服务器实现（如Codabix）上，频繁的重连会导致服务器端的连接数超过限制，最终无法建立新连接。

技术分析

根本原因

该问题的根源在于open62541 1.4.8版本中对安全通道头部验证逻辑的修改。在verifyClientSecureChannelHeader()函数中，当SecurityPolicy为None时，服务器证书可能为空（长度为0且数据为NULL），但代码仍会尝试比较客户端端点描述中的证书与服务器返回的证书。

代码逻辑缺陷

原始代码中只检查了客户端端点描述中证书的长度是否大于0，但没有检查服务器返回证书的长度。当SecurityPolicy为None时，服务器可能返回空证书，此时调用UA_String_equal()函数比较两个证书会导致验证失败。

安全策略特殊性

SecurityPolicy#None模式本身不要求加密通信，因此理论上不需要严格的证书验证。但在实现上，1.4.8版本引入了过于严格的证书检查机制，导致在这种特殊模式下出现误判。

解决方案

代码修复

正确的做法是在比较证书前，增加对服务器返回证书长度的检查。只有当两端证书长度都大于0时，才进行证书内容的比较。修改后的核心代码如下：

if(client->endpoint.serverCertificate.length > 0 &&
   serverCert.length > 0 &&
   !UA_String_equal(&client->endpoint.serverCertificate, &serverCert)) {
    UA_LOG_ERROR(client->config.logging, UA_LOGCATEGORY_CLIENT,
                 "The server certificate is different from the EndpointDescription");
    return UA_STATUSCODE_BADSECURITYCHECKSFAILED;
}

修复原理

1. 首先检查客户端端点描述中的证书长度
2. 然后检查服务器返回的证书长度
3. 只有当两者都有有效长度时，才进行内容比较
4. 对于SecurityPolicy#None模式，当服务器返回空证书时，跳过证书比较

影响范围

该问题主要影响以下场景：

1. 使用SecurityPolicy#None模式的连接
2. 连接那些在None模式下不提供服务器证书的OPC UA服务器
3. 需要周期性更新安全通道的长时间连接

最佳实践建议

1. 对于必须使用SecurityPolicy#None模式的场景，建议升级到包含此修复的open62541版本
2. 如果暂时无法升级，可以考虑回退到1.3.15版本
3. 在设计长时间运行的OPC UA客户端时，应合理处理连接断开和重连逻辑，避免服务器端连接数耗尽
4. 在生产环境中使用前，应在测试环境中充分验证与目标服务器的兼容性

总结

open62541 1.4.8版本引入的证书严格验证机制在SecurityPolicy#None模式下产生了兼容性问题。通过增加对服务器证书长度的检查，可以解决这一问题，同时保持其他安全策略下的严格验证机制。这体现了在安全性和兼容性之间需要谨慎平衡的设计原则。