Учитывая, что эта проблема связана с Node.js, есть один простой способ решить вашу проблему, не вдаваясь в подробности:
Поместите веб-прокси перед процессом Node.js и позвольте ему обрабатывать полное SSL-соединение. В самом коде Node.js вы отправляете запрос только на локальный HTTP-сервер.
Пример конфигурации с nginx (внутри директивы http):
server {
listen 8080;
location / {
resolver 8.8.8.8;
proxy_pass https://www.howsmyssl.com$uri$is_args&args;
proxy_ssl_protocols TLSv1.2;
proxy_ssl_ciphers AESGCM:!aNULL;
}
}
И измените nodejs на:
var request = require('request');
var options = {
url: 'http://localhost:8080/a/check'
};
request(options, function (error, response, body){
if (!error) {
console.log(body);
}
else {
console.log(error);
}
});
К сожалению, я действительно так и сделал, и результат был таким же:
{"given_cipher_suites":["TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384","TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384","TLS_DH_DSS_WITH_AES_256_GCM_SHA384","TLS_DHE_DSS_WITH_AES_256_GCM_SHA384","TLS_DH_RSA_WITH_AES_256_GCM_SHA384","TLS_DHE_RSA_WITH_AES_256_GCM_SHA384","TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384","TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384","TLS_RSA_WITH_AES_256_GCM_SHA384","TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256","TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256","TLS_DH_DSS_WITH_AES_128_GCM_SHA256","TLS_DHE_DSS_WITH_AES_128_GCM_SHA256","TLS_DH_RSA_WITH_AES_128_GCM_SHA256","TLS_DHE_RSA_WITH_AES_128_GCM_SHA256","TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256","TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256","TLS_RSA_WITH_AES_128_GCM_SHA256","TLS_EMPTY_RENEGOTIATION_INFO_SCSV"],"ephemeral_keys_supported":true,"session_ticket_supported":true,"tls_compression_supported":false,"unknown_cipher_suite_supported":false,"beast_vuln":false,"able_to_detect_n_minus_one_splitting":false,"insecure_cipher_suites":{},"tls_version":"TLS 1.2","rating":"Probably Okay"}
Это в основном означает, что это, вероятно, стандартное поведение OpenSSL.
Есть параметры, которые можно установить в OpenSSL с помощью SSL_CTX_set_options.
Особенно интересен здесь раздел БЕЗОПАСНАЯ ПЕРЕЕГОВОРКА и такая опция:
SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION
Разрешить устаревшее небезопасное повторное согласование между OpenSSL и непропатченными клиентами или серверами. См. Раздел БЕЗОПАСНАЯ ПЕРЕНОСКАНИЕ для более подробной информации.
Однако я не уверен, действительно ли это препятствует отправке шифра повторного согласования. Если эта опция действительно верна, возможно, есть способ исправить Node.js, чтобы использовать эту опцию, или перекомпилировать OpenSSL с этой опцией.
Конечно, также будет возможность использовать старую версию без исправлений. Насколько я понимаю, TLS_EMPTY_RENEGOTIATION_INFO_SCSV
не имеет отношения к POODLE, а относится к более старому исправлению:
CVE-2009-3555 (рекомендации по OpenSSL), 5 ноября 2009 г .:
Реализация RFC5746 для устранения уязвимостей при повторном согласовании SSL / TLS. Исправлено в OpenSSL 0.9.8m (Затронуто 0.9.8l, 0.9.8k, 0.9.8j, 0.9.8i, 0.9.8h, 0.9.8g, 0.9.8f, 0.9.8e, 0.9.8d, 0.9.8c, 0.9. 8b, 0.9.8a, 0.9.8)
Однако современный Node.js поставляется со статически связанным OpenSSL и не поддерживает OpenSSL 0.9.8, поэтому вам понадобится более старая версия Node.js в любом случае ... или используйте материал nginx с непропатченным OpenSSL ...
Вот где я застрял. Это не совсем полный ответ, но я думаю, что им по крайней мере стоит поделиться.
Подводя итог, я думаю, что если вы хотите сделать это без перекомпиляции, используйте nginx с OpenSSL без исправлений и настройте несколько серверов, по одному для каждого клиента, которого вы хотите имитировать.
Если вам требуется, чтобы это было сделано только в узле, лучше всего исправить OpenSSL прямо там и перекомпилировать узел.
person
Nappy
schedule
16.02.2016
{min-TLS,max-TLS}
. Вместо этого _ 2_ работает с течением времени, поэтому он будет применяться к последовательным соединениям, а не к одной попытке соединения в вакууме. - person jww   schedule 07.02.2016request
npm зависит от пакетаtls
в Node.js, который обрабатывает TLS-соединение через openssl. @jww, возможно, вы правы в том, что это небезопасно, однако я все же хотел бы отключить его для тестового примера и не беспокоиться о последствиях для безопасности в настоящее время. - person Elad Nava   schedule 08.02.2016