【天堤探针】【SSL解密】导入SSL私钥证书后无解密流量产生

贺东东发表于:2021年03月31日 15:45:36更新于:2021年06月17日 19:33:41

1、问题描述

解密日志如图中显示,解密结果提示Ephemeral keys cannot be decrypted

2、适用场景

通用

3、原因分析

天堤探针设备目前不支持使用DH、CAMELLIA、SEED加密算法SSL解密,以下加密算法设备不支持。

序号

加密套件名称

1

DHE-RSA-AES256-GCM-SHA384

2

ECDHE-RSA-AES128-GCM-SHA256

3

ECDHE-RSA-AES256-SHA

4

ECDHE-RSA-AES256-SHA384

5

ECDHE-RSA-AES256-GCM-SHA384

6

TLS1_DHE_RSA_WITH_AES_128_SHA

7

TLS1_DHE_RSA_WITH_AES_128_SHA256

8

TLS1_DHE_RSA_WITH_AES_128_GCM_SHA256

9

TLS1_DHE_RSA_WITH_AES_256_SHA

10

TLS1_DHE_RSA_WITH_AES_256_SHA256

11

TLS1_DHE_RSA_WITH_AES_256_GCM_SHA384

12

TLS1_ECDHE_RSA_WITH_AES_128_CBC_SHA

13

TLS1_ECDHE_RSA_WITH_AES_128_SHA256

14

TLS1_ECDHE_RSA_WITH_AES_128_GCM_SHA256

15

TLS1_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

16

TLS1_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

17

TLS1_ECDHE_RSA_WITH_AES_192_CBC3_SHA

18

TLS1_ECDHE_RSA_WITH_AES_256_GCM_SHA384

19

TLS1_ECDHE_RSA_WITH_AES_256_CBC_SHA

20

TLS1_ECDHE_RSA_WITH_AES_256_SHA384

21

TLS1_RSA_WITH_CAMELLIA_256_CBC_SHA

22

TLS1_RSA_WITH_CAMELLIA_28_CBC_SHA

23

TLS1_RSA_WITH_SEED_SHA

4、解决办法

首先了解下SSL握手过程

image.png

1.第一步:爱丽丝给出支持SSL协议版本号,一个客户端随机数(Client random,请注意这是第一个随机数),客户端支持的加密方法等信息;

2.第二步:鲍勃收到信息后,确认双方使用的加密方法,并返回数字证书,一个服务器生成的随机数(Server random,注意这是第二个随机数)等信息;

3.第三步:爱丽丝确认数字证书的有效性,然后生成一个新的随机数(Premaster secret),然后使用数字证书中的公钥,加密这个随机数,发给鲍勃。

4.第四步:鲍勃使用自己的私钥,获取爱丽丝发来的随机数(即Premaster secret);(第三、四步就是非对称加密的过程了)

5.第五步:爱丽丝和鲍勃通过约定的加密方法(通常是AES算法),使用前面三个随机数,生成对话密钥,用来加密接下来的通信内容;

非对称加解密算法的效率要比对称加解密要低的多,所以在实际应用中SSL在握手过程中使用非对称密码算法来协商密钥,使用对称加解密的方法对http内容加密传输。

针对天堤探针导入SSL私钥证书后无解密流量产生的问题,在web界面查看数据中心→解密日志→加密算法确定安全密码套件。密钥交换算法不能使用DH算法,对称加密算法不能使用CAMELLIA、SEED。

image.png