TLS(传输层安全协议,前身为 SSL)在 TCP 之上为应用提供加密、身份认证与数据完整性保护,HTTPS、加密数据库连接、金融报文几乎都依赖它。但加密也让传统监控“看不见”流量内容——握手失败、证书过期、协议版本不匹配、握手时延等问题难以排查。天旦通过握手元数据分析与 eBPF 透视技术,在不破坏加密的前提下恢复可观测性。
TLS(Transport Layer Security,传输层安全协议)是当今互联网最广泛使用的加密协议,它的前身是 SSL。TLS 工作在 TCP 之上、应用层之下,为通信双方提供三项核心保障:**加密**(防窃听)、**身份认证**(防冒充,基于 X.509 证书)和**完整性校验**(防篡改)。HTTPS、加密的数据库连接、金融行业的安全报文传输等场景,几乎都构建在 TLS 之上。
一次 TLS 会话始于**握手**:客户端与服务端协商协议版本与加密套件、交换证书并完成密钥协商。TLS 1.2 需要两个往返(2-RTT),TLS 1.3 优化为一个往返(1-RTT)甚至 0-RTT,显著降低了建连时延。握手完成后,双方使用协商出的会话密钥对应用数据进行对称加密传输。
加密在保护安全的同时,也给运维带来了**可观测性盲区**:传统监控只能看到密文,无法判断握手为何失败、证书是否过期、协议版本是否被降级、握手时延为何升高,更无法看到加密通道里业务请求的真实内容。如何在**不破坏加密、不解密私钥**的前提下恢复对 TLS 流量的洞察,是现代可观测性的关键挑战。
天旦对 TLS 提供两个层次的洞察。**第一层是握手元数据分析**:通过 CloudProbe 旁路采集,无需私钥即可解析 TLS 握手过程,识别协议版本、加密套件、证书有效期与证书链、SNI、握手时延与失败原因——证书快过期、版本被降级、握手在哪一步失败,一目了然。**第二层是 eBPF 透视 TLS**:在 Netis Heron 中,借助 eBPF 在加密前/解密后的内核挂载点直接读取明文,**在不破坏加密、不导出私钥的前提下看到加密通道里业务请求与响应的真实内容**,让 HTTPS、gRPC-over-TLS、LLM API 等加密流量重新变得可观测。
可以。TLS 握手过程中的协议版本、加密套件、证书信息、SNI、握手时延等元数据本身是可被旁路观测的,天旦无需私钥即可解析这些握手信息并定位证书过期、握手失败、版本降级等问题。
不会。eBPF 在内核中加密前/解密后的挂载点读取数据,看到的是应用本就拥有的明文,不导出私钥、不中间人解密、不改变链路上的加密强度,因此既能恢复可观测性,又不削弱传输安全。
天旦通过握手元数据持续采集服务端证书的有效期,按剩余天数设置预警阈值。在证书过期前主动告警,避免因证书续期疏漏导致的业务大面积中断。
TLS 1.3 简化了握手(1-RTT/0-RTT)并加密了更多握手字段,建连更快但部分元数据可见性下降。天旦针对 TLS 1.3 优化了解析逻辑,仍可提取版本、套件、证书与时延等关键可观测信息。