关键漏洞信息总结 主要问题 问题描述: 在会话恢复时不会重新检查证书链 (#77217)。 历史背景: 该行为自Go 1.21起变为默认行为,作为#77113的一部分,并在#31641中有详细讨论。 潜在风险: 如果信任配置更改,可能会导致原来应被拒绝的会话票证被用于恢复基于旧信息的连接。 相关问题和改进点 相关Issue: - (#3141) - (#77113) - (#39075) - (#39012) - (#60505) 相关代码变更 : 在会话恢复时不要重新验证但要检查证书过期 (#77294) : 不要复制自动轮转的会话票证键 (#77379) : 不要复制自动轮转的会话票证键 (#77379) 后续讨论与进展 开放SSL、BoringSSL等库的行为有所不同;Go的实现原先不支持自定义会话恢复过期时间。 目前提出的解决方案包括保持现有补丁、拒绝复制密钥、revert并重新引入最小验证等。 --- 更多技术细节及讨论在原始Issue中进行了多轮迭代,相关引用和技术实现可查阅原始Issue。