在服务器端检测客户端是否拒绝我的 TLS 证书

Question

我正在 Node.js 中构建一个 HTTP 代理，它尝试使用自签名证书拦截 HTTPS 连接。我正在使用裸http.Server，实例化我自己的tls.TLSSocket 以根据需要升级套接字，并且当客户端信任CA 时，该功能都可以正常工作。

如果客户端没有配置 CA，它显然会拒绝连接，抱怨链中有一个自签名证书。

应该是这样，但我想要一种方法来检测服务器端是否发生了这种情况，这样我就可以提示用户正确配置他们的客户端。

可以这样做吗？似乎 TLS RFC (https://www.rfc-editor.org/rfc/rfc5246#section-7.2.2) 有很多关于证书拒绝的错误警报消息，我希望能涵盖这一点，但即使使用NODE_DEBUG=tls，我也无法在 Node 中看到任何调试信息。

我真的很想订阅 TLS 错误警报事件，这样我就可以直接对其中的各种有趣案例做出反应。我该怎么做？

Answer 1

通常你看到的只是客户端关闭了连接。一些客户端可能会发送警报，而其他客户端则不会 - 确切的行为取决于 TLS 堆栈。无论如何，您无论如何都无法从这个死连接中重定向客户端。

您可能会尝试使用纯 HTTP 提供一些初始页面，其中包含来自 HTTPS 资源的一些图像或类似内容，使用由您的 CA 签署的证书。使用一些脚本，您可以检测客户端是否已成功加载图像，在后一种情况下，您可以显示有关需要安装某些证书的信息。