Cách đọc mã Cảnh báo mã hóa SSL/TLS trong Ephemeral RSA

Question

Tôi đang cố gắng gỡ lỗi Cảnh báo được mã hóa SSL trên máy chủ web của mình. Tôi không chắc vấn đề là gì và mọi thứ dường như đang hoạt động, nhưng tôi thấy nhiều Cảnh báo được mã hóa TLSv1 trong Wireshark mà tôi cảm thấy không nên ở đó.

Giao thức cảnh báo TLSv1 (http://en.wikipedia.org/wiki/Transport_Layer_Security#Alert_protocol) cung cấp mã lỗi cho biết có gì sai, không may mã này được mã hóa.

Wireshark cho phép SSL được giải mã bằng cách cung cấp khóa riêng (mà tôi có) trong trang tùy chọn SSL. Tuy nhiên, điều này không hiệu quả đối với tôi do phiên được thiết lập với RSA tạm thời (Sharkfest'09 http://sharkfest.wireshark.org/sharkfest.12/presentations/MB-1_SSL_Troubleshooting_with%20_Wireshark_Software.pdf trang 59).

Tôi muốn biết cách tôi có thể đọc mã cảnh báo này. Bất kỳ những điều sau đây sẽ làm cho tôi có:
a) Có Wireshark giải mã SSL sử dụng Ephemeral RSA
b) Tránh sử dụng Ephemeral RSA để Wireshark có thể giải mã
c) Buộc SSL để sử dụng mã hóa rỗng vì vậy tôi chỉ có thể đọc mã để gỡ lỗi nó

Answer 1

b) Tránh sử dụng Ephemeral RSA để Wireshark có thể giải mã

Nếu bạn web server là Apache, hãy thử như sau:

httpd.conf 

SSLProtocol +all -SSLv2 -SSLv3 
SSLCipherSuite -kEECDH:-kEDH:+kRSA:+HIGH:+MEDIUM:-LOW:-EXP 

c) Buộc SSL để sử dụng mã hóa rỗng vì vậy tôi chỉ có thể đọc các mã để gỡ lỗi nó

Đây có thể là một phức tạp hơn chút, nhưng hãy thử di chuyển eNULL vào phía trước của danh sách. eNULL có thể sẽ bị máy khách từ chối, nhưng đáng để thử. Tôi nghi ngờ nó sẽ bị từ chối vì khách hàng sẽ không cho phép mật mã (hoặc aNULL, cho vấn đề đó).

Nếu khách hàng có eNULL, nó vẫn có thể không được sử dụng. Máy chủ thường tôn trọng mật mã của khách hàng, vì vậy trừ khi khách hàng yêu cầu eNull, thì bạn sẽ phải tìm một ghi đè trên cấu hình máy chủ.