'openssl s_server' dando menos informações do que costumava

Navegue suas respostas
1

na minha antiga instalação GNU / Linux (Debian Stretch), eu costumava iniciar um servidor openssl fictício openssl s_server e obter os parâmetros da sessão SSL impressos no stdout.

A saída era a seguinte e estava tudo bem: 

user@machine:~$ openssl s_server -port 7777 -cert zertifikat-with-pass.pem
Enter pass phrase for zertifikat-with-pass.pem:
Using default temp DH parameters
ACCEPT
-----BEGIN SSL SESSION PARAMETERS-----
MGwCAQECAgMDBALAMxxxxDAjDcg5OEgtjf/KPjKlg4uoVzKJ8tXA1mWpJa8iMuxU
JTrQHFYKCvkAY5KodwontqihBgIEWxka06IEAgIcIKQGBAQBAAAAphAEDjE5Mi4x
NjguNDIuMTQ1rQMCAQE= (mangled for confidentiality)
-----END SSL SESSION PARAMETERS-----
Shared ciphers:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA
Signature Algorithms: RSA+SHA512:DSA+SHA512:ECDSA+SHA512:RSA+SHA384:DSA+SHA384:ECDSA+SHA384:RSA+SHA256:DSA+SHA256:ECDSA+SHA256:RSA+SHA224:DSA+SHA224:ECDSA+SHA224:RSA+SHA1:DSA+SHA1:ECDSA+SHA1
Shared Signature Algorithms: RSA+SHA512:DSA+SHA512:ECDSA+SHA512:RSA+SHA384:DSA+SHA384:ECDSA+SHA384:RSA+SHA256:DSA+SHA256:ECDSA+SHA256:RSA+SHA224:DSA+SHA224:ECDSA+SHA224:RSA+SHA1:DSA+SHA1:ECDSA+SHA1
Supported Elliptic Curve Point Formats: uncompressed:ansiX962_compressed_prime:ansiX962_compressed_char2
Supported Elliptic Curves: brainpoolP384r1:P-384:brainpoolP256r1:P-256
Shared Elliptic curves: P-384:P-256
CIPHER is ECDHE-RSA-AES256-GCM-SHA384
Secure Renegotiation IS supported
CETP<?xml version="1.0" encoding="UTF-8" standalone="yes"?><Event xmlns="http://domain.tld/v13.4"><Topic>DONE</Topic><Type>Operation</Type><Severity>Info</Severity><SubscriptionID>977ef239-459c-41ba-87e7-e5811aef9637</SubscriptionID><Message/></Event>DONE
shutting down SSL
CONNECTION CLOSED
ACCEPT

Na minha nova máquina (Xubuntu 18.04), openssl s_server está me dando muito menos resultado. Entre outros, os parâmetros da sessão SSL estão ausentes: 

user@machine:~$ openssl s_server -port 7777 -cert umgewandelt 
Enter pass phrase for umgewandelt:
Using default temp DH parameters
ACCEPT

CETP<?xml version="1.0" encoding="UTF-8" standalone="yes"?><Event xmlns="http://domain.tld/13.4"><Topic>DONE</Topic><Type>Operation</Type><Severity>Info</Severity><SubscriptionID>2dea3d71-4902-4775-9684-ad9dffe193c0</SubscriptionID><Message/></Event>DONE
shutting down SSL
CONNECTION CLOSED
ACCEPT

Pergunta

Como posso ter openssl s_server imprimir os parâmetros da sessão SSL como costumava fazer?

    
por Multisync 03.10.2018 / 13:40

1 resposta

1

Eu encontrei o motivo para escrever a pergunta acima. Eu pensei em postar o que descobri, pois isso pode ajudar os outros.

Quando você receber o seguinte aviso: 

user@machine:~$ openssl s_server -port 7777 -cert zertifikat-with-pass.pem
Enter pass phrase for zertifikat-with-pass.pem:
Using default temp DH parameters
ACCEPT

é importante NÃO pressionar uma tecla, pois apenas você recebe os parâmetros da sessão SSL quando um cliente se conecta.

Se você pressionar uma tecla (entrar no meu caso), a seguinte saída está faltando: (parâmetros de sessão SSL são confusos quanto à confidencialidade) 

-----BEGIN SSL SESSION PARAMETERS-----
MGwCAQECAgMDBALAMxxxxDAjDcg5OEgtjf/KPjKlg4uoVzKJ8tXA1mWpJa8iMuxU
JTrQHFYKCvkAY5KodwontqihBgIEWxka06IEAgIcIKQGBAQBAAAAphAEDjE5Mi4x
NjguNDIuMTQ1rQMCAQE=
-----END SSL SESSION PARAMETERS-----
Shared ciphers:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA
Signature Algorithms: RSA+SHA512:DSA+SHA512:ECDSA+SHA512:RSA+SHA384:DSA+SHA384:ECDSA+SHA384:RSA+SHA256:DSA+SHA256:ECDSA+SHA256:RSA+SHA224:DSA+SHA224:ECDSA+SHA224:RSA+SHA1:DSA+SHA1:ECDSA+SHA1
Shared Signature Algorithms: RSA+SHA512:DSA+SHA512:ECDSA+SHA512:RSA+SHA384:DSA+SHA384:ECDSA+SHA384:RSA+SHA256:DSA+SHA256:ECDSA+SHA256:RSA+SHA224:DSA+SHA224:ECDSA+SHA224:RSA+SHA1:DSA+SHA1:ECDSA+SHA1
Supported Elliptic Curve Point Formats: uncompressed:ansiX962_compressed_prime:ansiX962_compressed_char2
Supported Elliptic Curves: brainpoolP384r1:P-384:brainpoolP256r1:P-256
Shared Elliptic curves: P-384:P-256
CIPHER is ECDHE-RSA-AES256-GCM-SHA384
Secure Renegotiation IS supported
    
por 03.10.2018 / 13:47

Tags

Como encapsular o tráfego de localhost: port1 para remotehost2: port3 através de um host intermediário remotehost3 que pode ser acessado somente através de SSH? Como tornar a barra de localização do Safari 4 inteligente como o Firefox 3?