Hallo,
ich versuche gerade tcpdump / wireshark und tls zu lernen und habe jetzt folgendes Problem, wo ich fragen wollte, ob wer sich da noch ein wenig besser mit auskennt:
Auf dem client habe ich
tcpdump version 4.9.3 libpcap version 1.9.1 (with TPACKET_V3) OpenSSL 1.1.1f 31 Mar 2020
auf dem Server habe ich
tcpdump version 4.9.3 libpcap version 1.9.1 (with TPACKET_V3) OpenSSL 1.1.1k FIPS 25 Mar 2021
Wenn ich jetzt auf dem Client und Server jeweils eine https Verbindung mitschneide:
client: /usr/sbin/tcpdump -w /var/log/client.pcap host servername and ( port 443 or 80 )
server: /usr/sbin/tcpdump -w /var/log/server.pcap host clientname and ( port 443 or 80 )
dann vom client aus eine Webseite auf dem Server öffne: firefox https://servername/url
bekomme ich folgendes Ergebnis:
Im Client pcap steht nach den SYN und ACK ein TLSv1.3 Client Hello und 2 Einträge später ein TLSv1.3 Server Hello Danach sind alle verschlüsselten Verbindungen auch mit TLSv1.3 angegeben.
Im Server pcap steht nach dem SYN und ACK ein TLSv1.2 Client Hello und danach stehen auch nur TLSv1.2 Verbindungen.
Das hat zur Folge, dass ich das client pcap mit den entsprechenden Keys entschlüsseln kann. Bei dem server pcap geht das nicht.
Weiss jemand, wie es zu diesem Verhalten kommt?
Viele Grüße
Frank Knoben
Institut für Geometrie und Praktische Mathematik