是否可以从Lighttpd中提取TLS会话密钥,以便我们能够解密由tcpdump捕获的stream量?
或者,我们可以禁用PFS,但我们不希望这样做。
您可以在文件/etc/lighttpd/lighttpd.conf中的条目ssl.pemfile引用的文件中find私钥
关键是在证书之前的开始。
解密问题已经在这里回答了:
如何对解密的SSLstream量上带有一个数据包嗅探器-当-我-有最私钥
Ssldump应该可以做到这一点,但它似乎没有维护(在最新版本的源文件中,所有文件的最后修改date是在2002年或之前),所以它很可能不会支持较新的SSL / TLS; 实际上,2002年的软件可以处理TLS 1.2(AES / GCM)中定义的新的encryption格式,这是非常不可信的。 TLS 1.1在2006年发布,2008年在TLS 1.2中发布。
OpenSSL是一个实现协议的库,但不能用于分析logging的会话。
Wireshark可能有更好的机会,它有足够的文件来说明如何使用它来解密录制的会话。
需要注意的一个重要参数是:被动logging的会话(带有服务器私钥的副本)的解密仅在密钥交换是RSAtypes或静态DH时才起作用; 使用“DHE”和“ECDHE”密码套件,即使知道服务器私钥,您也无法解密这样的会话。 在这种情况下,您将需要协商的“主密钥”,或者使用服务器私钥主动拦截连接(在中间人设置中)。
Lighttpd不支持这个开箱即用的。
lighttpd的开发者Stefanbuild议查看以下答案:
从openssl应用程序中提取预主密钥