簡單使用 Openssl 測試指定加密

Photo by Markus Winkler on Unsplash

有時候更換憑證，要測試指定的加密法連線運作是否正常，其中最簡單的方法，便是使用 Openssl 所提供的連線工具即可。

Client 參數 

•  -msg：用16進位顯示所有協議數據包含 handshake 
• -cipher：指定 cipher連線 
• -showcerts：顯示 chain 
• -curves：指定要用的橢圓算法，client hello的extension中的 elliptic_curves 
• -sigalgs：指定交換 key要用的簽名方式，client hello的 extension 中的 signature_algorithms 
• -debug 列印出所有是訊息 

基本 Client連線指令：openssl s_client -connect [IP]:[port]

Server 參數 

•  -accept 聽的port 
• -key 使用的KEY 
• -cert 使用的憑證

基本 Server連線指令：openssl s_server -accept [port] -key server.key -cert server.pem

你可能還想要知道：

• OpenSSL 實用指令
• 使用 openssl 工具與函式庫
• 【茶包射手日記】網站憑證無效案例分析

解決蒜皮小茶包

Photo by Sigmund on Unsplash

看了暗黑執行緒解決了一個蒜皮小茶包，他的心得整理如下：

1. 沒取得不在場證明前，每個都是嫌犯，隨便放人，你可能一輩子破不了案。
2. 射茶包時謹記「剃刀原理」：先朝「耍笨」方向查，常有驚喜。
3. 沒看到證據都不算數，什麼都有可能，誰都不能相信。(我辦案有句機車名言：你願意用生命擔保問題不是出在這裡面？XD)
4. 別人成功你失敗，有可能是用的方法不同，留意此一差異可能左右偵辦方向。

連結到這個禮拜與客戶端處理連線的情境，覺得第二點應該要放在第一個思考，畢竟，有太多的『自以為是』，這個盲點會造就太多的理所當然而忽略了小細節。

如果再一次處理新主機切換的問題，透過暗黑執行緒的思維，我想會是這樣考慮問題點：

1. 能做的事情提前做好安排與驗證，不要認為理所當然就不做！
2. 「剃刀原理」：先朝「耍笨」方向查，從最基礎的設定開始確定。
3. 沒看到證據都不算數，什麼都有可能，誰都不能相信！
4. 別人成功但自己失敗，有可能是用的方法與過程不同，這就是眉角！