Tôi đang cố gắng gỡ lỗi Cảnh báo được mã hóa SSL trên máy chủ web của mình. Tôi không chắc vấn đề là gì và mọi thứ dường như đang hoạt động, nhưng tôi thấy nhiều Cảnh báo được mã hóa TLSv1 trong Wireshark mà tôi cảm thấy không nên ở đó.Cách đọc mã Cảnh báo mã hóa SSL/TLS trong Ephemeral RSA
Giao thức cảnh báo TLSv1 (http://en.wikipedia.org/wiki/Transport_Layer_Security#Alert_protocol) cung cấp mã lỗi cho biết có gì sai, không may mã này được mã hóa.
Wireshark cho phép SSL được giải mã bằng cách cung cấp khóa riêng (mà tôi có) trong trang tùy chọn SSL. Tuy nhiên, điều này không hiệu quả đối với tôi do phiên được thiết lập với RSA tạm thời (Sharkfest'09 http://sharkfest.wireshark.org/sharkfest.12/presentations/MB-1_SSL_Troubleshooting_with%20_Wireshark_Software.pdf trang 59).
Tôi muốn biết cách tôi có thể đọc mã cảnh báo này. Bất kỳ những điều sau đây sẽ làm cho tôi có:
a) Có Wireshark giải mã SSL sử dụng Ephemeral RSA
b) Tránh sử dụng Ephemeral RSA để Wireshark có thể giải mã
c) Buộc SSL để sử dụng mã hóa rỗng vì vậy tôi chỉ có thể đọc mã để gỡ lỗi nó
Máy chủ * luôn * * tôn vinh mật mã của khách hàng '. Nó không có sự lựa chọn. Xem RFC 2246, # 7.4.1.2. – EJP
"Máy chủ luôn 'tôn vinh mật mã của khách hàng'." Không phải trong thực tế. Tôi thường xuyên ra lệnh mã hóa khách hàng sẽ sử dụng vì khách hàng thường bị định cấu hình sai. Tôi hiếm khi nhận được ưu tiên số một của RC4/MD5. Như một vấn đề của thực tế, tôi không thể lấy RC4/MD5 kể từ khi tôi vô hiệu hóa chúng - cả hai đều bị hỏng. Xem [SSL_OP_CIPHER_SERVER_PREFERENCE] của OpenSSL (https://www.openssl.org/docs/ssl/SSL_CTX_set_options.html). – jww
Bạn thường xuyên ra lệnh lựa chọn giữa các bộ mã hóa được bật của khách hàng. Bạn không thể làm bất cứ điều gì khác. Xem RFC. – EJP