Comment lire SSL/TLS Chiffré Alerte code en vertu de l'Éphémère RSA

Je suis en train de déboguer Crypté SSL Alertes sur mon serveur web. Je ne sais pas quel est le problème et les choses semblent fonctionner, mais je vois beaucoup de TLSv1 Chiffré des Alertes dans Wireshark que je ressens ne devrait pas être là.

La TLSv1 protocole alerte (http://en.wikipedia.org/wiki/Transport_Layer_Security#Alert_protocol) fournit des codes d'erreur indiquant ce qui est faux, malheureusement, ce code est crypté.

Wireshark permet à l'SSL pour être déchiffré par la fourniture de la clé privée (que j'ai) dans le protocole SSL, page de préférences. Toutefois, cela ne fonctionne pas pour moi à cause de la séance d'installation avec l'Éphémère RSA (Sharkfest'09 http://sharkfest.wireshark.org/sharkfest.12/presentations/MB-1_SSL_Troubleshooting_with%20_Wireshark_Software.pdf page 59).

Je veux savoir comment je peux lire cette alerte code. Tout de, la suite me rendre là:

un) Ont Wireshark déchiffrer SSL à l'aide de l'Éphémère RSA

b) Éviter d'utiliser Éphémère RSA donc Wireshark peut déchiffrer

c) Forcer le SSL à utiliser chiffrement null si je peux juste lire le code de débogage

InformationsquelleAutor user1967117 | 2013-02-14
  1. 1

    b) Éviter d'utiliser Éphémère RSA donc Wireshark peut déchiffrer

    Si votre serveur web est Apache, essayez les solutions suivantes:

    httpd.conf

SSLProtocol +all -SSLv2 -SSLv3
SSLCipherSuite -kEECDH:-kEDH:+kRSA:+HIGH:+MEDIUM:-LOW:-EXP

    c) Forcer le SSL à utiliser chiffrement null si je peux juste lire le code de débogage

    Cela pourrait être un peu plus délicat, mais essayez de déplacer eNULL à l'avant de la liste. eNULL sera probablement rejetée par le client, mais sa vaut la peine d'essayer. Je pense qu'elle va être rejetée parce que le client ne permettent pas à l'algorithme de chiffrement (ou aNULL, d'ailleurs).

    Si le client n'ont eNULL, on risque de ne pas être utilisé. Le serveur habituellement les honneurs du client algorithmes de chiffrement, de sorte que si le client demande eNull, alors vous aurez à trouver un remplacement sur le serveur de configuration.

    • Le serveur toujours 'honneurs du client cipher". Il n'a pas le choix. Voir la RFC 2246, #7.4.1.2.
    • "Le serveur a toujours des "honneurs du client cipher"." Pas dans la pratique. Je fais régulièrement de dicter ce que cipher seront utilisés par le client, car les clients sont souvent mal configuré. Je prends rarement le numéro un de la préférence de RC4/MD5. Comme une question de fait, je ne peux pas prendre RC4/MD5 depuis que j'ai désactiver eux - mêmes, sont brisés. Voir l'installation de OpenSSL SSL_OP_CIPHER_SERVER_PREFERENCE.
    • Vous régulièrement dicter un choix entre le client est activé suites de chiffrement. Vous ne pouvez pas faire autre chose. Voir la RFC.
    InformationsquelleAutor jww