é possível criar um certificado SSL que não faça criptografia?

0

Estou tentando desenvolver uma ferramenta de teste para validar um protocolo baseado em SOAP que é servido por HTTPS.

Meu problema é que, se eu tiver algum problema no protocolo, não posso usar o wireshark para depurá-lo, porque o tráfego é criptografado.

É possível gerar com o openssl um certificado que possui um nihil cyper?

    
por Ottavio Campana 02.05.2017 / 08:45

2 respostas

3

O ciphersuite TLS selecionado (que pode usar criptografia NULL) é independente do certificado usado, ou seja, basta usar um certificado normal com um dos ciphersuites "WITH_NULL":

link

Outra alternativa é configurar o wireshark para descriptografar o tráfego (isso requer que o wireshark tenha acesso à chave privada):

link

    
por 02.05.2017 / 11:16
0

Sim e não.

Sim: os certificados X.509 quase sempre têm um keyUsage ou uma extensão extendedKeyUsage , que regula como o certificado deve ser usado . Se você omitir os valores dataEncipherment e keyEncipherment neste momento e configurá-los para outra coisa (como digitalSignature ), todos os aplicativos que estiverem seguindo o padrão devem não use a chave do certificado para criptografia.

Não: Todo certificado X.509 contém uma chave pública que teoricamente pode ser usada para criptografar dados, não importando o que o padrão ordena que você faça.

Linha de fundo: Você não pode tecnicamente proibir alguém de fazer criptografia com uma chave em um certificado X.509. Sua melhor chance é definir o keyUsage como um valor apropriado e usar uma chave ECC em vez de uma chave RSA, já que a criptografia ECC é algo que não é feito com muita frequência.

    
por 02.05.2017 / 10:08