certificato comportamento strano

Naviga le tue risposte
-1

Ho cercato di capire un problema con il certificato e di catturare usando Wireshark per ispezionare le diverse sequenze.

Il caso che non funziona (connessione wifi tramite il mio fornitore di servizi via cavo), vedo:

  • client Ciao
  • server Ciao
  • dal nuovo server: certificato, scambio chiavi server, server Ciao fatto

Sono in grado di vedere il certificato che causa il problema (non valido).

Ora che funziona (stesso computer / browser), l'unica differenza è l'accesso a Internet tramite un provider LTE)

Wireshark mostra:

  • client ciao
  • server hello, modifica specifica cipher, messaggio crittografato di handshake
  • dalla specifica del cifrario di modifica del client, Messaggio crittografato di handshake
  • ...

Non riesco a vedere il certificato sull'acquisizione (presumo che sia perché è crittografato (messaggio crittografato per l'handshake)

E poiché questo è il caso che funziona, sono in grado di vedere il sito Web con un certificato valido completamente diverso rispetto al primo caso non funzionante.

La mia domanda riguarda il messaggio Encrypted Handshake, perché questa sequenza viene attivata e c'è un modo per vedere di più cosa succede?

L'ispezione SSL (sul router / firewall) potrebbe essere la causa principale di questa modifica del certificato? E in questo caso l'Encrypted Handshake è fatto tra il sito web e il router?

Le due catture sono sotto. Puoi utilizzare il filtro di visualizzazione per rimuovere il rumore tcp.port eq 443 and ip.addr==185.230.61.0/24

Con router: certificato di rilascio

ByPass Router: funziona bene

    
posta starless 19.10.2018 - 07:01
fonte

1 risposta

2

My question is about the Encrypted Handshake Message, why this sequence is triggered and is there a way to see more what happens?

Questa sequenza è perfettamente normale. Non vi è alcun certificato nel pcap fornito ("ByPass Router: funziona bene") perché viene ripresa una sessione SSL stabilita in precedenza, cioè viene eseguito un handshake TLS abbreviato che non contiene alcun certificato invece di un handshake completo che conterrebbe un certificato. Il messaggio Encrypted Handshake che vedi dopo Change Cifre Spec è probabilmente il messaggio Finished che segna la fine dell'handshake TLS ed è il primo messaggio che viene crittografato.

Could SSL inspection (on the router/firewall) be the root cause of this certificate change?

Guardando il pcap per "Con Router: Issue Certificate" sembra che stia avvenendo una specie di SSL man in the middle. Questo potrebbe essere il tentativo di intercettazione SSL o potrebbe essere anche un captive portal. Il certificato restituito è per prod1.shp.mcafee.com ed è emesso da McAfee OV SSL CA 2 - che non corrisponde al nome del sito che si desidera raggiungere ( www.hatim-benmeziane.com ), né è il certificato che posso ottenere quando provo ad accedere al sito (es. nessuna configurazione errata).

    
risposta data 19.10.2018 - 18:01
fonte

Leggi altre domande sui tag

Come identificare l'utente che ha rivelato pubblico privato al pubblico? [duplicare] Il finto SNI può essere utile per confondere Deep Packet Inspection (filtri web, ecc.)?