Как да четем SSL/TLS шифрован предупредителен код под Ephemeral RSA

Опитвам се да отстраня грешки в SSL криптирани сигнали на моя уеб сървър. Не съм сигурен какъв е проблемът и нещата изглежда работят, но виждам много TLSv1 криптирани сигнали в Wireshark, които смятам, че не трябва да са там.

Предупредителният протокол TLSv1 (http://en.wikipedia.org/wiki/Transport_Layer_Security#Alert_protocol) предоставя кодове за грешки указва какво не е наред, за съжаление този код е криптиран.

Wireshark позволява SSL да бъде дешифриран чрез предоставяне на частния ключ (който имам) в страницата с предпочитания за SSL. Това обаче не работи за мен поради настройката на сесията с Ephemeral RSA (Sharkfest'09 http://sharkfest.wireshark.org/sharkfest.12/presentations/MB-1_SSL_Troubleshooting_with%20_Wireshark_Software.pdf страница 59).

Искам да знам как мога да разчета този предупредителен код. Някое от следните ще ме отведе дотам:
a) Накарайте Wireshark да декриптира SSL с помощта на Ephemeral RSA
b) Избягвайте използването на Ephemeral RSA, за да може Wireshark да дешифрира
c) Принудете SSL да използва нулево криптиране, за да мога просто прочетете кода, за да го отстраните


ssl wireshark
person user1967117    schedule 14.02.2013    source източник

Отговори (1)


arrow_upward
1
arrow_downward

b) Избягвайте използването на Ephemeral RSA, за да може Wireshark да дешифрира

Ако вашият уеб сървър е Apache, опитайте следното:

httpd.conf

SSLProtocol +all -SSLv2 -SSLv3
SSLCipherSuite -kEECDH:-kEDH:+kRSA:+HIGH:+MEDIUM:-LOW:-EXP

c) Принудете SSL да използва нулево криптиране, за да мога просто да прочета кода, за да го отстраня

Това може да е малко по-сложно, но опитайте да преместите eNULL в началото на списъка. eNULL вероятно ще бъде отхвърлен от клиента, но си струва да опитате. Подозирам, че ще бъде отхвърлено, защото клиентът няма да позволи шифъра (или aNULL, в този случай).

Ако клиентът има eNULL, той все още може да не се използва. Сървърът обикновено зачита шифрите на клиента, така че освен ако клиентът не поиска eNull, тогава ще трябва да намерите отмяна на конфигурацията на сървъра.

person jww    schedule 15.10.2013
comment
Сървърът винаги 'уважава шифрите на клиента'. То няма избор. Вижте RFC 2246, #7.4.1.2. - person user207421; 17.12.2013
comment
Сървърът винаги „уважава шифрите на клиента“. Не и на практика. Аз редовно диктувам какъв шифър ще използва клиентът, защото клиентите често са неправилно конфигурирани. Рядко предпочитам номер едно на RC4/MD5. В интерес на истината, не мога да взема RC4/MD5, тъй като ги деактивирах - и двата са повредени. Вижте SSL_OP_CIPHER_SERVER_PREFERENCE на OpenSSL. - person jww; 17.12.2013
comment
Вие редовно диктувате избор между активираните пакети за шифроване на клиента. Не можеш да направиш нищо друго. Вижте RFC. - person user207421; 17.12.2013