WS63星闪开发板的TLS为什么无法连接到HTTPS网站

最新推荐文章于 2025-11-25 13:41:35 发布
原创 最新推荐文章于 2025-11-25 13:41:35 发布 · 2.1k 阅读 · 28 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#https #网络协议 #http

目录

引言

故障分析

程序日志分析

使用nmap查看网站支持的加密套件

网站访问验证

结束语

引言

最近尝试使用WS63星闪开发板的Mbedtls库访问华为云的DeepSeek服务,结果没有成功。到海思论坛上一看,发现不止我一个人遇到这个问题(技术论坛 | 海思社区),对这个问题进行了一些研究,分享一下研究结果。

故障分析

程序日志分析

程序在连接服务器后,返回的错误信息为:

TLS handshake failed: mbedtls error: -0x7780

mbedtls error: -0x7780 是在 TLS 握手阶段失败的错误。这个错误码对应的十进制是 -30592,在 mbedTLS 中通常表示:

MBEDTLS_ERR_SSL_FATAL_ALERT_MESSAGE
即:服务器返回了一个 致命的 TLS Alert,导致握手中断。

为了得到更准确的信息,我们需要程序提供更多的细节。在前一篇博客,我介绍了如何打开程序的Mbedtls日志,所以就设置程序的日志级别为4,得到更详细的日志。完整的日志信息太长,这里仅列出关键信息。

日志明确提到:

../../../../open_source/mbedtls/mbedtls_v3.1.0/library/ssl_tls.c:3215: The SSL configuration is tls12 only.

这表明客户端(设备)的 SSL/TLS 配置仅支持 TLS 1.2 协议,不支持更高版本(如 TLS 1.3)或更低版本(如 TLS 1.1/1.0)。客户端发送Client Hello消息后,收到服务器返回的致命警报:

../../../../open_source/mbedtls/mbedtls_v3.1.0/library/ssl_msg.c:4853: got an alert message, type: [2:40]
../../../../open_source/mbedtls/mbedtls_v3.1.0/library/ssl_msg.c:4861: is a fatal alert message (msg 40)

根据 TLS 协议规范,警报代码40对应 **handshake_failure**(握手失败),表示服务器无法与客户端协商出兼容的握手参数(如协议版本、密码套件等),因此终止握手。

客户端在Client Hello中提供了 48 种密码套件(如TLS-RSA-WITH-AES-256-GCM-SHA384TLS-ECDH-RSA-WITH-AES-128-GCM-SHA256等,日志中完整列出了,这里省略),并声明支持 TLS 1.2(max version: [3:3],TLS 1.2 的版本号为0x0303)。

但服务器未返回Server Hello,直接以handshake_failure响应,说明服务器不接受客户端的协议版本或密码套件

使用nmap查看网站支持的加密套件

要查看网站支持的加密套件,可以使用nmap工具。Nmap(Network Mapper)是一款功能强大的开源网络扫描工具,常被用于网络发现与安全审计等方面。

加密套件扫描常针对运行 HTTPS 等加密服务的 443 端口等,需调用其 ssl-enum-ciphers 脚本实现。基本的命令语法为:

nmap --script ssl-enum-ciphers -p 443 <目标网站域名或 IP 地址>

下面就是扫描华为云的MaaS网站的结果:

test@ERAZE-UHYFLAFVU:~$ nmap --script ssl-enum-ciphers -p 443 maas-cn-southwest-2.modelarts-maas.com
Starting Nmap 7.80 ( https://nmap.org ) at 2025-08-13 21:17 CST
Nmap scan report for maas-cn-southwest-2.modelarts-maas.com (1.95.81.128)
Host is up (0.099s latency).
Other addresses for maas-cn-southwest-2.modelarts-maas.com (not scanned): 1.95.59.212
rDNS record for 1.95.81.128: ecs-1-95-81-128.compute.hwclouds-dns.com

PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_ARIA_256_GCM_SHA384 (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_ARIA_128_GCM_SHA256 (ecdh_x25519) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A

Nmap done: 1 IP address (1 host up) scanned in 5.02 seconds

从扫描结果看,服务器支持的 TLS 1.2 加密套件列表如下:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_RSA_WITH_ARIA_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_ARIA_128_GCM_SHA256

目标服务器(maas-cn-southwest-2.modelarts-maas.com仅支持临时密钥交换套件ECDHE/DHE),而拒绝静态密钥交换套件(RSA/ECDH)。临时密钥交换套件ECDHE/DHE),这类套件支持前向 secrecy(前向保密),即每次会话的密钥独立生成,即使长期密钥泄露也不会影响历史会话,是现代服务器普遍要求的安全特性。而WS63SDK的 Mbedtls 3.1.0 默认启用的加密套件中,没有启用任何 ECDHE 类型的加密套件,日志中列出的都是 RSA 密钥交换或 ECDH 静态密钥交换的套件,这些都不是 ECDHE。因此,客户端和服务器没有共同支持的加密套件,导致握手失败。

类似的,扫描DeepSeek API网站,发现它的配置情况和华为云差不多。

test@ERAZE-UHYFLAFVU:~$ nmap --script ssl-enum-ciphers -p 443 api.deepseek.com
Starting Nmap 7.80 ( https://nmap.org ) at 2025-08-13 21:21 CST
Nmap scan report for api.deepseek.com (116.205.40.113)
Host is up (0.085s latency).
Other addresses for api.deepseek.com (not scanned): 116.205.40.114
rDNS record for 116.205.40.113: ecs-116-205-40-113.compute.hwclouds-dns.com

PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (ecdh_x25519) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A

Nmap done: 1 IP address (1 host up) scanned in 2.76 seconds

这些网站为了更高的安全性,所以对加密套的设置就比较高。

而我们看百度的网站设置,它支持的加密套就很多,WS63 SDK的默认配置就可以访问它,毕竟好多软件拿百度的网站来检测网站的连通性,所以它连很多非常老的协议都是支持的。

test@ERAZE-UHYFLAFVU:~$ nmap --script ssl-enum-ciphers -p 443 www.baidu.com
Starting Nmap 7.80 ( https://nmap.org ) at 2025-08-13 21:19 CST
Nmap scan report for www.baidu.com (110.242.69.21)
Host is up (0.12s latency).
Other addresses for www.baidu.com (not scanned): 2408:871a:2100:186c:0:ff:b07e:3fbc 2408:871a:2100:1b23:0:ff:b07a:7ebc 110.242.70.57

PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   SSLv3:
|     ciphers:
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|     compressors:
|       NULL
|     cipher preference: indeterminate
|     cipher preference error: Too few ciphers supported
|     warnings:
|       Broken cipher RC4 is deprecated by RFC 7465
|       Forward Secrecy not supported by any cipher
|   TLSv1.0:
|     ciphers:
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_ECDHE_RSA_WITH_RC4_128_SHA (secp256r1) - C
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|     warnings:
|       Broken cipher RC4 is deprecated by RFC 7465
|   TLSv1.1:
|     ciphers:
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_ECDHE_RSA_WITH_RC4_128_SHA (secp256r1) - C
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|     warnings:
|       Broken cipher RC4 is deprecated by RFC 7465
|   TLSv1.2:
|     ciphers:
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_RC4_128_SHA (secp256r1) - C
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|     warnings:
|       Broken cipher RC4 is deprecated by RFC 7465
|_  least strength: C

Nmap done: 1 IP address (1 host up) scanned in 4.96 seconds

网站访问验证

为了进一步验证这个问题,我找了另外一个OpenAI API兼容的平台:质谱AI,加以验证。

下面是网站的扫描结果:

test@ERAZE-UHYFLAFVU:~$ nmap --script ssl-enum-ciphers -p 443 open.bigmodel.cn
Starting Nmap 7.80 ( https://nmap.org ) at 2025-08-13 21:18 CST
Nmap scan report for open.bigmodel.cn (60.205.172.105)
Host is up (0.0066s latency).

PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   TLSv1.0:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (ecdh_x25519) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|     compressors:
|       NULL
|     cipher preference: server
|     warnings:
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|   TLSv1.1:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (ecdh_x25519) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|     compressors:
|       NULL
|     cipher preference: server
|     warnings:
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (ecdh_x25519) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (ecdh_x25519) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|     compressors:
|       NULL
|     cipher preference: server
|     warnings:
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|_  least strength: C

Nmap done: 1 IP address (1 host up) scanned in 6.28 seconds

从扫描结果看质谱AI的网站支持的加密套件比较丰富,可以和Mbedtls匹配上。

下面就是采用Mebedtls对质谱AI网站进行访问的结果,成功的连接上了网站,并返回了正确的结果。

结束语

经过了一番分析,终于找到了问题的原因和解决问题的方向。目前默认配置无法访问华为云MassS和DeepSeek网站,这个问题留待后面再分析。

嵌入式工程师必学(13):DIODES
码农17年的博客
09-23 6527
Diodes
WS63工程深度剖析(basedOnBearpiPicoH3863
weixin_42698598的博客
08-22 338
【代码】WS63工程深度剖析(basedOnBearpiPicoH3863
TLS协商报错Handshake failure问题解决
qq_42288975的博客
10-12 4469
介绍了curl工具协助定位tls连接问题,tcp连接报错Handshake failure可能原因是协商的加密套件存在问题导致。
mbedtls耗时问题(TLS耗时,https耗时)
weixin_43778559的博客
07-20 2996
mini_httpd作为服务端https耗时优化,mbedtls耗时,SSL证书问题,TLS握手耗时问题
基于Linux平台下开如何实现websocket连接ws连接
qq_28117531的博客
05-28 5131
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录一、什么是websocket?二、使用步骤(此篇讲的是ws连接,若需要了解wss请看下篇文章)1.ws源代码2.Websocket握手报文3.实现样例总结 一、什么是websocket? Websocket是一个持久化的协议,相对于HTTP这种非持久的协议来说。简单的举个例子吧,用目前应用比较广泛的PHP生命周期来解释。HTTP的生命周期通过Request来界定,也就是一个Request 一个Response,那么在HTTP1.0
为什么 socket.io 客户端在浏览器能连接服务器但在 Node.js 中报错 transport close?
网罗天下方法,方便你我开发!!!
09-17 2179
浏览器端能连接到 socket.io 服务器但 Node.js 客户端报 transport close 的根本原因通常不是 socket.io API “实现不同”,而是握手上下文不同导致服务器拒绝/中连接——常见因素包括:握手缺少关键 header(Origin/Cookie/User-Agent)、跳过 polling 导致缺少 session、反爬/防火墙/代理/云盾对非浏览器流量拦截、或 TLS/TCP 指纹不符合服务器的策略。解决办法是把 Node 客户端模拟成浏览器的握手流程(headers
手把手教你为 Mbed TLS 打开“显微镜”——调试日志完整攻略
研究兴趣:智能物联网、嵌入式系统、人工智能
08-10 286
摘要:MbedTLS调试技巧:通过开启MBEDTLS_DEBUG_C宏和设置调试级别(0-4),可解决握手失败等无提示问题。需调用mbedtls_ssl_conf_dbg注册日志回调函数,将内部细节输出到串口/日志。常见问题包括未开启宏或阈值设置不当。调试信息能有效提升MbedTLS效率。(150字)
Nginx反向代理WebSocket (wss://) 间歇性连接的深度分析
沉淀所学,分享所思,让热爱与成长同行。商务记录AI实战经验,助力开发者快速成长。 热爱AI,希望做出有影响力的技术成果。 技术点亮生活,分享连接价值与机会。 专注AI落地实战,陪你走好技术每一步。
06-17 2982
在部署基于WebSocket的实时通信服务时,我们常常使用Nginx作为反向代理。然而,很多开者(尤其是像我这样的新手😅)在使用`wss://`协议时,常常遇到“间歇性连接”的问题。本文将从小白的视角出,系统性分析这个问题的成因、排查流程与优化策略,并给出完整可行的解决方案。
ESP32-MicroPython实现ssl连接mqtt服务器EMQX
homonym的博客
03-10 1793
为了节省时间,没有自行部署mqtt服务器,选择使用EMQX提供的Serveless免费的mqtt服务器。EMQX官方说明免费版是多租户模式,出于安全考虑,只能选择ssl/tls加密协议连接。在PC上无论使用Golang、Python或者其它语言都能够正常连接,但在esp32中由于MicroPython对ssl的支持比较简陋,使用emqx官方提供的demo连接时,会现代码报错,连接失败。的使用上海乐鑫提供的官方软件,将下载的固件烧录到开。到此,正常连接,收数据正常,问题解决。
火一号开可以送传感器数据到云平台实现云平台实时数据显示吗
04-19
好的,用户现在的问题是询问火一号开如何通过RT-Thread将温湿度传感器数据送到云平台并实现实时显示。我需要结合之前的对话和提供的引用内容来构建一个全面的回答。 首先,回顾用户之前的问题,他们遇到了...
function connectWebSocket() { ws = new WebSocket('ws://192.168.5.178:8080'); // 连接状态处理 ws.onopen = () => { console.log('WebSocket连接已建立'); reconnectAttempts = 0; // 重置重连计数器 }; ws.onclose = (event) => { console.log(`WebSocket连接已关闭,代码: ${event.code}, 原因: ${event.reason}`); if (reconnectAttempts < maxReconnectAttempts) { console.log(`将在 ${reconnectDelay/1000} 秒后尝试重连...`); setTimeout(connectWebSocket, reconnectDelay); reconnectAttempts++; } }; ws.onerror = (error) => { console.error('WebSocket错误:', error); }; }网页能否就这样与开建立连接
04-28
不过,开作为客户端连接到某个中继服务器,网页也连接到该服务器,可能更简单,但用户的问题似乎是直接连接。 引用[4]中的例子是开作为客户端连接到服务器,而引用[3]的小程序也是作为客户端连接。但用户的...
其中,ws://example.com 是 WebSocket 的 URL,表示要连接的服务器。
04-04
如果希望在 Linux 平台上开中实现 WebSocket 连接,可以借助第三方库 Websocket++ 来简化操作流程。具体步骤如下: ##### (a) 添加依赖项 确保已安装 Websocket++ 库及其相关组件。 ##### (b) 编写代码 以下是...
iOS 抓不到包怎么办?从 HTTPS 解密、QUIC 排查到 TCP 数据流分析的完整解决方案
2501_91373349的博客
11-25 473
本文系统解析 iOS 抓不到包的常见原因,包括证书链、pinning、QUIC、自定义协议等,并给出完全可复用的排查流程。文章还说明在代理抓包失败时如何使用抓包大师(Sniffmaster)按 App/域名捕获 TCP/HTTPS 数据流并导出 pcap,实现完整链路分析。
网络访问流程:HTTPS + TCP + IP
xike1024的博客
11-16 1818
DNS解析、TCP三次握手、TLS四次握手、HTTP加密通信、TCP四次挥手
【Linux 网络基础】libwebsockets HTTPS 服务端实现机制详解
最新发布
love131452098的博客
11-25 801
本文详细解析了libwebsockets实现HTTPS服务端的关键机制,主要包括HTTP监听与TLS握手两大部分。HTTP实现方面,通过状态机逐字节解析请求,支持分片处理和协议升级;TLS实现则采用非阻塞方式推进握手,支持SNI和ALPN扩展。系统通过核心数据结构如lws_vhost管理监听配置,lws_protocols定义协议回调,形成完整的HTTPS服务管道。该设计兼顾性能与灵活性,为WebSocket等上层协议提供安全通信基础。
API接口调试全攻略 Fiddler抓包工具、HTTPS配置与代理设置实战指南
2501_91600889的博客
11-21 527
Fiddler抓包工具全攻略:详解HTTP/HTTPS 抓包原理、代理配置、点调试与Mock数据技巧,结合实战案例帮助开者快速定位接口问题。更多请访问 Fiddler 中文网。
Linux网络HTTPS(20)
tan180°的博客
11-24 672
想了想,还有 HTTPS 也做一下笔记吧,其实还有I/O 多路复用的那三个API()我也分别想要做一下笔记,但是想了想还是未来再来吧~数字摘要 又称为 数字指纹,指通过 哈希函数 对信息进行运算后生成的 一串定长字符串 ,具有很强的唯一性,数字摘要 并不能加密,而是用于快速判原始内容是否被修改从无限映射到有限,肯定是有概率碰巧重合的,但是这种概率极低,不影响也不考虑摘要的常见算法:有等。
【Linux 网络基础】HTTPS 技术文档
love131452098的博客
11-24 1103
HTTPS技术文档摘要 HTTPSHTTP的安全扩展版本,通过TLS/SSL协议提供加密、完整性校验和身份认证功能。文档详细介绍了HTTPS的加密原理(对称/非对称加密混合体系)、数字证书验证流程(X.509标准)以及TLS握手过程(1.2和1.3版本差异)。包含Nginx配置示例,支持TLS 1.3、HTTP/2、HSTS等安全特性,并提供OpenSSL工具链操作指南。最后列出常见问题排查方法和相关RFC标准参考,为工程师提供全面的HTTPS实施指导。
Nginx 实战(一)—— Web 核心概念、HTTP/HTTPS 协议与 Nginx 安装
tzhou64452的博客
11-22 816
Nginx(音“engine x”)是一款高性能的 Web 服务器,就像“Web 世界的高效调度员”,能同时处理成千上万的用户请求,还不占太多服务器资源。它是由俄罗斯程序员 Igor Sysoev 为当地大型门户网站 Rambler.ru 开的,2004 年布第一个公开版本,因为稳定性强、功能丰富、资源消耗低,很快成为全球主流的 Web 服务器。现在百度、新浪、网易、腾讯等国内大厂,还有很多国外知名网站,都在用 Nginx。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

神一样的老师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值