Estou tentando desenvolver uma ferramenta de teste para validar um protocolo baseado em SOAP que é servido por HTTPS.
Meu problema é que, se eu tiver algum problema no protocolo, não posso usar o wireshark para depurá-lo, porque o tráfego é criptografado.
É possível gerar com o openssl um certificado que possui um nihil cyper?
O ciphersuite TLS selecionado (que pode usar criptografia NULL) é independente do certificado usado, ou seja, basta usar um certificado normal com um dos ciphersuites "WITH_NULL":
Outra alternativa é configurar o wireshark para descriptografar o tráfego (isso requer que o wireshark tenha acesso à chave privada):
Sim e não.
Sim: os certificados X.509 quase sempre têm um keyUsage ou uma extensão extendedKeyUsage , que regula como o certificado deve ser usado . Se você omitir os valores dataEncipherment e keyEncipherment neste momento e configurá-los para outra coisa (como digitalSignature ), todos os aplicativos que estiverem seguindo o padrão devem não use a chave do certificado para criptografia.
Não: Todo certificado X.509 contém uma chave pública que teoricamente pode ser usada para criptografar dados, não importando o que o padrão ordena que você faça.
Linha de fundo: Você não pode tecnicamente proibir alguém de fazer criptografia com uma chave em um certificado X.509. Sua melhor chance é definir o keyUsage como um valor apropriado e usar uma chave ECC em vez de uma chave RSA, já que a criptografia ECC é algo que não é feito com muita frequência.
Tags tls openssl certificate