ssltapを使ってみよう [Ubuntu]
ssltapはSSLデバッグツールの1つで、SSLのハンドシェイクなどサーバとクライアント間のメッセージを表示してくれるツールです。このツールはmozillaのWebサイトにあるNSSセキュリティツールで提供されています。
では、インストールから利用までやってみましょう。
1.インストール
sudo su -
cd /usr/local/src
wget http://ftp.mozilla.org/pub/mozilla.org/security/nss/releases/NSS_3_12_4_RTM/Linux2.6_x86_64_glibc_PTH_64_OPT.OBJ/nss-3.12.4.tar.gz
tar zxfv nss-3.12.4.tar.gz
mv nss-3.12.4 /usr/local/nss
profileにPATHを通します。
cp -p /etc/profile /etc/profile.bak
PATH=/usr/local/nss/bin:/usr/local/ssl/bin:$PATH
export PATH
which ssltap
/usr/local/nss/bin/ssltap
2.利用方法
firefoxからApache(SSL)でアクセスできるとして、ssltapはプロキシ型のデバックツールなので、ApacheのSSLポートを443から1443へ変更して、443ポートはssltapで待ち受け、変更した1443ポートへプロキシします。
httpd-ssl.confの443を変更します。
vi httpd-ssl.conf
以下の3箇所を変更します。
Listen 1443
VirtualHost _default_:1443
ServerName HostName:1443
Apacheを再起動します。
/usr/local/httpd/bin/apachectl restart
ssltapを起動します。
cd /var/data
ssltap -vfsxl -p 443 HostName:1443 > ssl.html
HTMLにしない場合は、fを外してください。
ssltap -vsxl -p 443 HostName:1443 > ssl.txt
これでfirefoxからSSLのURLにアクセスします。うまくいけば、ssl.htmlができているはずです。
ssl.htmlを参照してみてください。以下のようなログが見えます。
Version: $Revision: 1.13 $ ($Date: 2009/03/13 02:24:07 $) $Author: nelson%bolyard.com $
-------------------
Connection #1 [Sat Oct 23 12:40:13 2010]
Connected to HostName:1443
--> [
(163 bytes of 158)
SSLRecord { [Sat Oct 23 12:40:13 2010]
0: 16 03 01 00 9e | .....
type = 22 (handshake)
version = { 3,1 }
length = 158 (0x9e)
handshake {
0: 01 00 00 9a | ....
type = 1 (client_hello)
length = 154 (0x00009a)
ClientHelloV3 {
client_version = {3, 1}
random = {...}
0: 4c c2 59 20 66 9b eb 10 07 9c 47 16 45 18 ac 75 | L.Y f.....G.E..u
10: 8f 59 46 bb 7e 0d 5b b8 29 51 b0 7f 87 98 d8 88 | .YF.~.[.)Q.....
session ID = {
length = 0
contents = {...}
}
cipher_suites[36] = {
(0x00ff) ????/????????/?????????/???
(0xc00a) TLS/ECDHE-ECDSA/AES256-CBC/SHA
(0xc014) TLS/ECDHE-RSA/AES256-CBC/SHA
(省略)
ssltapの詳細は、ここで確認してください。
では、また。
では、インストールから利用までやってみましょう。
1.インストール
sudo su -
cd /usr/local/src
wget http://ftp.mozilla.org/pub/mozilla.org/security/nss/releases/NSS_3_12_4_RTM/Linux2.6_x86_64_glibc_PTH_64_OPT.OBJ/nss-3.12.4.tar.gz
tar zxfv nss-3.12.4.tar.gz
mv nss-3.12.4 /usr/local/nss
profileにPATHを通します。
cp -p /etc/profile /etc/profile.bak
PATH=/usr/local/nss/bin:/usr/local/ssl/bin:$PATH
export PATH
which ssltap
/usr/local/nss/bin/ssltap
2.利用方法
firefoxからApache(SSL)でアクセスできるとして、ssltapはプロキシ型のデバックツールなので、ApacheのSSLポートを443から1443へ変更して、443ポートはssltapで待ち受け、変更した1443ポートへプロキシします。
httpd-ssl.confの443を変更します。
vi httpd-ssl.conf
以下の3箇所を変更します。
Listen 1443
VirtualHost _default_:1443
ServerName HostName:1443
Apacheを再起動します。
/usr/local/httpd/bin/apachectl restart
ssltapを起動します。
cd /var/data
ssltap -vfsxl -p 443 HostName:1443 > ssl.html
HTMLにしない場合は、fを外してください。
ssltap -vsxl -p 443 HostName:1443 > ssl.txt
これでfirefoxからSSLのURLにアクセスします。うまくいけば、ssl.htmlができているはずです。
ssl.htmlを参照してみてください。以下のようなログが見えます。
Version: $Revision: 1.13 $ ($Date: 2009/03/13 02:24:07 $) $Author: nelson%bolyard.com $
-------------------
Connection #1 [Sat Oct 23 12:40:13 2010]
Connected to HostName:1443
--> [
(163 bytes of 158)
SSLRecord { [Sat Oct 23 12:40:13 2010]
0: 16 03 01 00 9e | .....
type = 22 (handshake)
version = { 3,1 }
length = 158 (0x9e)
handshake {
0: 01 00 00 9a | ....
type = 1 (client_hello)
length = 154 (0x00009a)
ClientHelloV3 {
client_version = {3, 1}
random = {...}
0: 4c c2 59 20 66 9b eb 10 07 9c 47 16 45 18 ac 75 | L.Y f.....G.E..u
10: 8f 59 46 bb 7e 0d 5b b8 29 51 b0 7f 87 98 d8 88 | .YF.~.[.)Q.....
session ID = {
length = 0
contents = {...}
}
cipher_suites[36] = {
(0x00ff) ????/????????/?????????/???
(0xc00a) TLS/ECDHE-ECDSA/AES256-CBC/SHA
(0xc014) TLS/ECDHE-RSA/AES256-CBC/SHA
(省略)
ssltapの詳細は、ここで確認してください。
では、また。
assimane さん
-
nice! 37743
記事 846
テーマ パソコン・インターネット (17位)
プロフィール
ブログを紹介する
Assimane Blog
よろしければFeedlyに登録してね
