《Go和HTTPS》的评论 https://tonybai.com/2015/04/30/go-and-https/ 一个程序员的心路历程 Wed, 25 Mar 2026 09:21:20 +0000 hourly 1 http://wordpress.org/?v=3.2.1 作者:bigwhite https://tonybai.com/2015/04/30/go-and-https/#comment-7657 bigwhite Thu, 01 Dec 2022 13:31:01 +0000 http://tonybai.com/?p=1718#comment-7657 抓https的原理是利用“中间人”攻击吧。即将抓包工具的ca.crt手工加入到浏览器端,这样浏览器就可以通过该ca.crt对“抓包工具”冒充的“中间人”予以信任。从而与抓包工具建立连接,抓包工具再与真正的服务端建连,并转发浏览器客户端的请求,转发服务端应答给浏览器,这期间抓包工具拥有两段的对称密钥,可以看到所有通信数据的明文。 抓https的原理是利用“中间人”攻击吧。即将抓包工具的ca.crt手工加入到浏览器端,这样浏览器就可以通过该ca.crt对“抓包工具”冒充的“中间人”予以信任。从而与抓包工具建立连接,抓包工具再与真正的服务端建连,并转发浏览器客户端的请求,转发服务端应答给浏览器,这期间抓包工具拥有两段的对称密钥,可以看到所有通信数据的明文。

]]> 作者:iahob https://tonybai.com/2015/04/30/go-and-https/#comment-7656 iahob Thu, 01 Dec 2022 07:05:16 +0000 http://tonybai.com/?p=1718#comment-7656 我有个疑问就是,现在很多抓包软件支持https 抓包,但是要安装证书,这个证书是不是就是上面生成的ca.crt , 当抓包软件抓不同的域名的https ,会生成不通域名的证书,这个过程是这样的吗? 我有个疑问就是,现在很多抓包软件支持https 抓包,但是要安装证书,这个证书是不是就是上面生成的ca.crt , 当抓包软件抓不同的域名的https ,会生成不通域名的证书,这个过程是这样的吗?

]]> 作者:bigwhite https://tonybai.com/2015/04/30/go-and-https/#comment-7615 bigwhite Fri, 15 Apr 2022 23:02:42 +0000 http://tonybai.com/?p=1718#comment-7615 嗯,找到原因就好。 嗯,找到原因就好。

]]> 作者:fli123443 https://tonybai.com/2015/04/30/go-and-https/#comment-7614 fli123443 Thu, 14 Apr 2022 13:41:40 +0000 http://tonybai.com/?p=1718#comment-7614 应该是我的问题,我把wireshark抓的包导出看到证书是对的,后来发现是服务端的问题 应该是我的问题,我把wireshark抓的包导出看到证书是对的,后来发现是服务端的问题

]]> 作者:fli123443 https://tonybai.com/2015/04/30/go-and-https/#comment-7613 fli123443 Thu, 14 Apr 2022 13:28:11 +0000 http://tonybai.com/?p=1718#comment-7613 实测用wireshark抓包确实 客户端发送的证书Certificates 没有内容 实测用wireshark抓包确实 客户端发送的证书Certificates 没有内容

]]> 作者:bigwhite https://tonybai.com/2015/04/30/go-and-https/#comment-7612 bigwhite Wed, 13 Apr 2022 22:16:52 +0000 http://tonybai.com/?p=1718#comment-7612 Certificates注释如下: // Certificates contains one or more certificate chains to present to the // other side of the connection. The first certificate compatible with the // peer's requirements is selected automatically. // // Server configurations must set one of Certificates, GetCertificate or // GetConfigForClient. Clients doing client-authentication may set either // Certificates or GetClientCertificate. // // Note: if there are multiple Certificates, and they don't have the // optional field Leaf set, certificate selection will incur a significant // per-handshake performance cost. Certificates []Certificate 这个字段应该是有效的。 Certificates注释如下:

// Certificates contains one or more certificate chains to present to the
// other side of the connection. The first certificate compatible with the
// peer’s requirements is selected automatically.
//
// Server configurations must set one of Certificates, GetCertificate or
// GetConfigForClient. Clients doing client-authentication may set either
// Certificates or GetClientCertificate.
//
// Note: if there are multiple Certificates, and they don’t have the
// optional field Leaf set, certificate selection will incur a significant
// per-handshake performance cost.
Certificates []Certificate

这个字段应该是有效的。

]]> 作者:fli123443 https://tonybai.com/2015/04/30/go-and-https/#comment-7611 fli123443 Wed, 13 Apr 2022 08:12:24 +0000 http://tonybai.com/?p=1718#comment-7611 记录一下,我的go版本 1.16 使用文章中的方式去设置双向认证有问题 wireshark抓tls的包看,客户端根本没有发送自己的证书给服务端 需要改成下面这段代码: tr := &http.Transport{ TLSClientConfig: &tls.Config{ RootCAs: pool, // Certificates: []tls.Certificate{cliCrt}, 在这里设置客户端证书不生效 GetClientCertificate: func(info *tls.CertificateRequestInfo) (*tls.Certificate, error) { return &cliCrt, nil }, // 需要这样这是客户端证书 }, } 记录一下,我的go版本 1.16
使用文章中的方式去设置双向认证有问题
wireshark抓tls的包看,客户端根本没有发送自己的证书给服务端
需要改成下面这段代码:
tr := &http.Transport{
TLSClientConfig: &tls.Config{
RootCAs: pool,
// Certificates: []tls.Certificate{cliCrt}, 在这里设置客户端证书不生效
GetClientCertificate: func(info *tls.CertificateRequestInfo) (*tls.Certificate, error) {
return &cliCrt, nil
}, // 需要这样这是客户端证书
},
}

]]> 作者:jo饭 https://tonybai.com/2015/04/30/go-and-https/#comment-7487 jo饭 Thu, 27 Aug 2020 12:24:29 +0000 http://tonybai.com/?p=1718#comment-7487 牛皮!非常清楚 牛皮!非常清楚

]]> 作者:bigwhite https://tonybai.com/2015/04/30/go-and-https/#comment-7342 bigwhite Mon, 04 Mar 2019 13:18:29 +0000 http://tonybai.com/?p=1718#comment-7342 从证书的原理来看,证书是公钥+申请者身份信息的,可以从client端发送的公钥证书中提取身份信息。或者在建立安全通道后,在通道内直接传递身份验证数据。 从证书的原理来看,证书是公钥+申请者身份信息的,可以从client端发送的公钥证书中提取身份信息。或者在建立安全通道后,在通道内直接传递身份验证数据。

]]> 作者:404 https://tonybai.com/2015/04/30/go-and-https/#comment-7341 404 Mon, 04 Mar 2019 08:50:05 +0000 http://tonybai.com/?p=1718#comment-7341 请问一下,双向认证中,能给 client 端带上用户的唯一标识,server 端可以通过 client 请求体解析出证书中的该标识吗? 请问一下,双向认证中,能给 client 端带上用户的唯一标识,server 端可以通过 client 请求体解析出证书中的该标识吗?

]]>