Inducir la renegociación de TLS

Question

Inducir la renegociación de TLS

#1 de Steffen Ullrich (2 votos)

1

¿Es posible inducir la renegociación ssl para un navegador a través de la línea de comandos / una solicitud de rizo? Sé que es posible límite de velocidad ssl renegociación pero no sé cómo hazlo al revés

Encontré algunos reclamos del producto BIG-IP de la red F5, pero no hay detalles sobre cómo se logró esto.

Además, ¿cuál es el criterio para que un navegador web renegocie las claves TLS?

Creo que la renegociación se realiza probablemente después de un tiempo de espera determinado, en cuyo caso es posible cambiar el valor del tiempo de espera en un navegador (Chrome o Firefox).

Hay algunas referencias sobre cómo hacerlo con mod_tls de Apache, pero estoy particularmente buscando hacerlo para un navegador web. Recompilación del navegador puede ser considerado.

tls openssl session-management secure-renegotiation ssl-interception

pregunta 17.12.2016 - 13:38

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls openssl session-management secure-renegotiation ssl-interception

Ver comunicación en WiFi con contraseña conocida ¿Puede oler paquetes de un enrutador usando wirehark?

score 2 · Answer 1

La renegociación generalmente ocurre en el cliente HTTP en los siguientes casos:

el servidor requiere una renegociación, generalmente porque el cliente intenta acceder a un recurso que requiere un certificado de cliente que el acuerdo anterior no incluyó
se realiza una renegociación por razones de seguridad después de un tiempo o un número de bytes transferidos. En OpenSSL, esto se puede ajustar con BIO_set_ssl_renegotiate_bytes y BIO_set_ssl_renegotiate_timeout
si el número de secuencia TLS de 64 bits desbordaría, se necesita una renegociación

En realidad, no es necesario que el usuario o incluso el desarrollador sintonicen después de cuánto tiempo o bytes transferidos debe ocurrir una renegociación. Y algunos grep cortos sobre el código fuente de Chromium no indican ningún lugar donde el navegador establezca explícitamente estos parámetros, es decir, simplemente se basará en la pila TLS subyacente. Esto es BoringSSL en el caso de Chromium, que es un derivado de OpenSSL, por lo que probablemente pueda usar las funciones descritas anteriormente para realizar su propio ajuste al modificar el código fuente.