wireshark中查看ssl报文的小问题

wireshark是一个常用的包分析工具。最近在跟一些人交流的过程中，发现一个在查看ssl报文的问题可能是部分人存在误区的地方，这里面指出一下。

图1中第6个报文的长度为1414，而server hello部分长度为84，那么出去84个字节剩下的数据是什么呢？

图1

图2中第9个报文长度是912个字节，而证书显示长度为3318个字节，也就是说一个包承载不了整个证书链，实际上图2红色部分标出证书链是由6,7,9三个数据包来构成的。这也就解释了上面个提到的第6个包除掉84个字节的server hello部分，剩下的便是证书的一部分了。也就是说证书是从第6个包就开始了。很多人常以为证书是从第9个包开始，这主要是wireshark是将证书链所有数据收齐之后才显示证书。其实只要真正的写过解码程序，都能够知道这一点。

图2

本文为CSDN村中少年原创文章，转载记得加上小尾巴偶，博主链接这里。