TLS/SSL握手是一个相对复杂的过程，在阿里云环境中结合产品，安全等特性，可能会让TLS/SSL握手过程的不定性更多。本文来总结下各种握手失败的场景。

本文不详细介绍TLS/SSL基础知识，相关介绍可以参考文章。下面3张图描述了3种TLS/SSL握手的全过程。

服务器验证的完全握手 (Full Handshake with Mutual Authentication)这种是互联网大部分HTTPS流量使用的验证模式。证书在服务器上，客户端通过证书来验证服务器是否可靠。

双向验证的完全握手 (Full Handshake with Server Authentication)这种是对客户端安全性有要求的验证模式。除了客户端要验证服务器外，服务器对客户端也需要进行验证，所以需要双向验证。和上面的步骤相比，多了客户端向服务器传输证书的过程。

简单握手 (Abbreviated Handshake)完全握手需要2个RTT并交互很多消息，在会话复用的场景下，可以让握手简化到1个RTT完成。过程如下：

自从TLS 1.2版本在2008年发布以来，绝大部分HTTPS流量都跑在TLS 1.2上。服务器处于安全性考虑通常也只支持较高版本TLS，比如TLS1.0及以上。但是仍然有一些版本比较旧的操作系统和浏览器存在，如果这些客户端用低版本TLS/SSL向服务器发起握手，会因为服务器不支持而直接失败。

比如淘宝网只支持TLS 1.0及以上版本，用openssl发起SSL 3版本的握手，就会出现handshake failure。