ServerKeyExchange handshake消息
首先,要解密不通过浏览器的https报文,如果HTTPS server发送的TLS/SSL报文中不包含ServerKeyExchange消息。如果有ServerKeyExchange消息,那么你是不能解密这个报文的。
在TLS/SSL协议中,ServerKeyExchange消息被于cipher suite为DHE或者DH相关的cipher suite. 因此要禁止这种handshake消息。
列举3种禁止SSL的ServerKeyExchange消息
- curl命令可以通过–ciphers指定费DH的cipher suite
curl -k --ciphers rsa_rc4_128_sha https://10.1.1.1/url_sample
- apache HTTP web禁止DH相关的消息:
SSLCipherSuite RSA:!EXP:!NULL:+HIGH:+MEDIUM:-LOW - 使用openssl命令来列出所有的表达式对应的cipher spec:
openssl ciphers -v 'RSA:!EXP:!NULL:+HIGH:+MEDIUM:-LOW'
配置wireshak去解析没有ServerKeyExchange消息的SSL报文
- IP address: HTTPS服务器的IP地址
- KeyFile: HTTPS服务器的私有密钥private key