c++ - SSLSniff 错误 : "SSL Accept Failed"

Question

我正在尝试使用 SSLSniff 的工具，但遇到了一些技术问题...我一直在寻找任何类似的问题，但唯一的结果来自 Twitter 提要，没有公开有用的答案。所以，这里是:

(我的 SSLSniff 版本是 0.8)我用 args 启动 sslsniff:

sslsniff -a -c cert_and_key.pem -s 12345 -w out.log  

其中:cert_and_key.pem 文件是我的授权证书与我的未加密私钥(当然是 PEM 格式)连接在一起，12345 是我使用 iptables 规则重定向流量的端口。

所以 sslsniff 正确运行:

INFO sslsniff : Certificate ready: [...]  

[每当我与客户联系时，都会出现以下两行:]

DEBUG sslsniff : SSL Accept Failed!  
DEBUG sslsniff : Got exception: Error with SSL connection.

在我的客户端，我已经将我的 AC 注册为受信任的 CA(带有 FF)。然后，当我通过 SSL 连接时出现错误:

Secure Connection Failed.  
Error code: ssl_error_bad_cert_domain

super 奇怪的是(此外，证书不会自动被接受，因为它应该由我信任的 CA 签名)是我无法通过单击“添加异常(exception)...”来接受伪造的证书:我总是返回错误页面要求我添加(其他)异常...

此外，当我尝试连接到例如:https://www.google.com ，SSLSniff 的日志以新行完成:

DEBUG sslsniff : Encoded Length: 7064 too big for session cache, skipping...  

有谁知道我做错了什么？

-- 编辑总结不同的答案--

问题是 SSLSniff 在伪造证书时没有考虑替代名称。显然，只要公用名与域名完全不匹配，Firefox 就会拒绝任何证书。

例如，对于 Google.com:CN = www.google.com 并且没有替代名称。所以当你连接到 https://www.google.com , 它工作正常。
但对于 Google.fr :CN = *.google.fr，具有这些替代名称:*.google.fr 和 google.fr。所以当你连接到 https://www.google.fr , FF 正在寻找替代名称，并且由于它显然找不到任何替代名称，因此拒绝格式错误的证书。

...所以一个解决方案是打补丁/提交...我不知道 Moxie Marlinspike 是否故意忘记了这个功能，因为它太复杂了，或者他只是没有意识到这个问题。无论如何，我会尝试查看代码。

Answer 1

session 编码长度错误消息:当缓存 SSL session 失败时，这意味着后续连接上的 SSL session 恢复将失败，从而导致性能下降，因为每个请求都需要进行完整的 SSL 握手。然而，尽管 CPU 的使用更加频繁，sslsniff 仍然可以正常工作。缓存失败，因为 OpenSSL session 对象 (SSL_SESSION) 的序列化表示大于 sslsniff session 缓存支持的最大大小。

至于您真正的问题，请注意 sslsniff 不支持 X.509v3 subjectAltNames，因此如果您连接到的站点的主机名与证书的主题公用名不匹配，而是仅匹配 subjectAltName，则 sslsniff将生成没有 subjectAltNames 的伪造证书，这将导致连接客户端上的主机名验证不匹配。

如果您的问题只发生在某些特定站点上，请告诉我们该站点，以便我们可以使用例如openssl s_client -connect host:port -showcerts 和 openssl x509 -in servercert.pem -text。如果所有站点都出现这种情况，则上述解释不成立。