Inducendo la rinegoziazione TLS

Question

Inducendo la rinegoziazione TLS

#1 da (2 voti)

1

È possibile indurre la rinegoziazione di ssl per un browser tramite la riga di comando / una richiesta di arricciatura. So che è possibile limitare la ssl rinegoziazione ma non so come fallo al contrario.

Ho trovato alcune affermazioni del prodotto BIG-IP della rete F5, ma non ci sono dettagli su come è stato realizzato.

Inoltre, qual è il criterio per un browser Web per rinegoziare le chiavi TLS?

Credo che la rinegoziazione avvenga probabilmente dopo un particolare timeout, nel qual caso è possibile modificare il valore di timeout in un browser (chrome o firefox).

Ci sono alcuni riferimenti su come farlo con mod_tls di Apache, ma sono particolarmente interessato a farlo per un browser web. Si può considerare la ricompilazione del browser.

openssl tls session-management secure-renegotiation ssl-interception

posta 17.12.2016 - 13:38

fonte

1 risposta

Leggi altre domande sui tag openssl tls session-management secure-renegotiation ssl-interception

Importazione delle password di bcrypt in Active Directory L'email è contrassegnata come spam da Google [chiusa]

score 2 · Answer 1

La rinegoziazione di solito avviene nel client HTTP nei seguenti casi:

il server richiede una rinegoziazione, in genere perché il client tenta di accedere a una risorsa che richiede un certificato client che l'handshake precedente non includeva
viene effettuata una rinegoziazione per motivi di sicurezza dopo un certo tempo o numero di byte trasferiti. In OpenSSL questo può essere sintonizzato con BIO_set_ssl_renegotiate_bytes e BIO_set_ssl_renegotiate_timeout
se il numero di sequenza TLS a 64 bit supererebbe una rinegoziazione è necessario

Non è davvero necessario che l'utente o lo sviluppatore si regolino dopo quanto tempo o i byte trasferiti devono essere sottoposti a una rinegoziazione. E qualche breve grep sul codice sorgente di Chromium non indica alcun luogo in cui il browser imposta esplicitamente questi parametri, cioè si baserà semplicemente sullo stack TLS sottostante. Questo è BoringSSL in caso di Chromium che è un derivato di OpenSSL, quindi è possibile utilizzare probabilmente le funzioni sopra descritte per eseguire la propria ottimizzazione modificando il codice sorgente.