Inducendo la rinegoziazione TLS

1

È possibile indurre la rinegoziazione di ssl per un browser tramite la riga di comando / una richiesta di arricciatura. So che è possibile limitare la ssl rinegoziazione ma non so come fallo al contrario.

Ho trovato alcune affermazioni del prodotto BIG-IP della rete F5, ma non ci sono dettagli su come è stato realizzato.

Inoltre, qual è il criterio per un browser Web per rinegoziare le chiavi TLS?

Credo che la rinegoziazione avvenga probabilmente dopo un particolare timeout, nel qual caso è possibile modificare il valore di timeout in un browser (chrome o firefox).

Ci sono alcuni riferimenti su come farlo con mod_tls di Apache, ma sono particolarmente interessato a farlo per un browser web. Si può considerare la ricompilazione del browser.

    
posta 17.12.2016 - 13:38
fonte

1 risposta

2

La rinegoziazione di solito avviene nel client HTTP nei seguenti casi:

  • il server richiede una rinegoziazione, in genere perché il client tenta di accedere a una risorsa che richiede un certificato client che l'handshake precedente non includeva
  • viene effettuata una rinegoziazione per motivi di sicurezza dopo un certo tempo o numero di byte trasferiti. In OpenSSL questo può essere sintonizzato con BIO_set_ssl_renegotiate_bytes e BIO_set_ssl_renegotiate_timeout
  • se il numero di sequenza TLS a 64 bit supererebbe una rinegoziazione è necessario

Non è davvero necessario che l'utente o lo sviluppatore si regolino dopo quanto tempo o i byte trasferiti devono essere sottoposti a una rinegoziazione. E qualche breve grep sul codice sorgente di Chromium non indica alcun luogo in cui il browser imposta esplicitamente questi parametri, cioè si baserà semplicemente sullo stack TLS sottostante. Questo è BoringSSL in caso di Chromium che è un derivato di OpenSSL, quindi è possibile utilizzare probabilmente le funzioni sopra descritte per eseguire la propria ottimizzazione modificando il codice sorgente.

    
risposta data 17.12.2016 - 18:05
fonte