Я пытаюсь разработать инструмент тестирования для проверки протокола на основе SOAP, который обслуживается по протоколу HTTPS.
Моя проблема в том, что, если у меня есть какие-либо проблемы в протоколе, я не могу использовать wireshark для его отладки, потому что трафик зашифрован.
Можно ли с помощью openssl сгенерировать сертификат, который имеет нигильский ципер?
Выбранный набор шифров TLS (который может использовать шифрование NULL) не зависит от используемого сертификата, то есть просто используйте обычный сертификат с одним из наборов шифров WITH_NULL:
https://www.iana.org/assignments/tls-parameters/tls-parameters.xhtml#tls-parameters-4
Другой альтернативой является настройка wireshark для дешифрования трафика (для этого требуется, чтобы wireshark имел доступ к закрытому ключу):
И да и нет.
Да: сертификаты X.509 почти всегда имеют расширение keyUsage или extendedKeyUsage , которое регулирует использование сертификата. Если вы опустите значения dataEncipherment и keyEncipherment в этой точке и зададите для него другое значение (например, digitalSignature), каждое приложение, придерживающееся стандарта, не должно использовать ключ сертификата для шифрования.
Нет. Каждый сертификат X.509 содержит открытый ключ, который теоретически можно использовать для шифрования данных, независимо от того, что предписывает стандарт.
Итог: Вы не можете технически запретить кому-либо выполнять шифрование с помощью ключа в сертификате X.509. Лучше всего установить для keyUsage соответствующее значение и использовать ключ ECC вместо ключа RSA, поскольку шифрование ECC выполняется не очень часто.
