Как проверить, что рукопожатие TLS было завершено в Twisted

Question

Это продолжение вопроса: Сбои SSL-квитирования, когда по Twisted TLSConnection не было отправлено никаких данных

Я реализовал простой сервер SSL, который закрывает соединение, как только клиент подключен.

Я тестирую его с помощью openssl, и у меня произошел сбой при рукопожатии:

$ openssl s_client -connect localhost:12345                             
CONNECTED(00000003) 2329:error:140790E5:SSL routines:SSL23_WRITE
:ssl handshake failure:s23_lib.c:188: 

Проблема в том, что TLS.Connection.loseConnection не ждет, когда будет выполнено текущее рукопожатие, а просто отключает клиента.

Обратный вызов, прикрепленный к OpenSSL.SSL.Connection.do_handshake, был бы великолепен ... но, к сожалению, я не знаю, можно ли это сделать ... или как это сделать.

Любые намеки на то, как я могу проверить, что было выполнено рукопожатие TLS, очень ценятся. Большое спасибо!

Вот код

class ApplicationProtocol(Protocol):
        '''Protocol that closes the connection when connection is made.'''
        def connectionMade(self):
            self.transport.loseConnection()

# Here is a barebone TLS Server
serverFactory = ServerFactory()
serverFactory.protocol = ApplicationProtocol
server_cert_path = 'server.pem'
serverContextFactory = DefaultOpenSSLContextFactory(
            privateKeyFileName = server_cert_path,
            certificateFileName = server_cert_path,
            sslmethod=SSL.SSLv23_METHOD)

tlsFactory = TLSMemoryBIOFactory(serverContextFactory, False, serverFactory)
reactor.listenTCP(12345, tlsFactory)
#reactor.listenSSL(12345, serverFactory, serverContextFactory)

---

Пока я решаю это действительно грязно и не на 100% верно.

def tls_lose_connection(self):
    """
    Monkey patching for TLSMemoryBIOProtocol to wait for handshake to end,
    before closing the connection.

    Send a TLS close alert and close the underlying connection.
    """

    def close_connection():
        self.disconnecting = True
        if not self._writeBlockedOnRead:
            self._tlsConnection.shutdown()
            self._flushSendBIO()
            self.transport.loseConnection()

    # If we don't know if the handshake was done, we wait for a bit
    # and the close the connection.
    # This is done to avoid closing the connection in the middle of a
    # handshake.
    if not self._handshakeDone:
        reactor.callLater(0.5, close_connection)
    else:
        close_connection()


TLSMemoryBIOProtocol.loseConnection = tls_lose_connection

Answer 1

Я предоставляю код, который реализует ответ Жан-Поля.

class ProxyClientTLSContextFactory(ssl.ClientContextFactory):
    isClient = 1

def getContext(self):
    ctx = SSL.Context(SSL.TLSv1_METHOD)
    logger = logging.GetLogger()
    def infoCallback(conn, where, ret):
        # conn is a OpenSSL.SSL.Connection
        # where is a set of flags telling where in the handshake we are
        # See http://www.openssl.org/docs/ssl/SSL_CTX_set_info_callback.html
        logger.debug("infoCallback %s %d %d" % (conn, where, ret))
        if where & SSL.SSL_CB_HANDSHAKE_START:
            logger.debug("Handshake started")
        if where & SSL.SSL_CB_HANDSHAKE_DONE:
            logger.debug("Handshake done")
    ctx.set_info_callback(infoCallback)
    return ctx

Проблема, с которой я столкнулся внутри функции infoCallback (), заключается в том, что я понятия не имею, как добраться от SSL.Connection до связанного экземпляра Twisted Protocol.

Что я хотел бы сделать, так это вызвать обратный вызов в моем экземпляре протокола после того, как было установлено соединение и было завершено установление связи TLS, поэтому я могу быть уверен, что проверка сертификата мне по вкусу, прежде чем я продолжу.

Answer 2

Объект контекста SSL может быть настроен с помощью «обратного вызова информации» - Context.set_info_callback. Это обертка вокруг SSL_CTX_set_info_callback. PyOpenSSL, к сожалению, немного более удобный (в данном случае) SSL_set_info_callback для указания обратного вызова для одного соединения.

Помимо всего прочего, информационный обратный вызов вызывается после завершения рукопожатия. С некоторыми акробатическими упражнениями вы сможете превратить это уведомление в Отложенный или какой-либо другой обратный вызов в протокол.

Подробнее см. В документации pyOpenSSL set_info_callback и OpenSSL SSL_CTX_set_info_callback .

Answer 3

Я обнаружил, что использование loseConnection() ненадежно из-за проблемы с подтверждением связи.Можно позвонить, и соединение никогда не отключается полностью.Поэтому для TLS я всегда использую abortConnection().Это обеспечит закрытие соединения независимо от состояния рукопожатия.