El cifrado SSL / TLS se realiza de extremo a extremo, lo que significa que solo cada extremo puede descifrar correctamente la sesión. El punto es que Wireshark, u otras herramientas de captura / rastreo de redes, no pueden escuchar los datos que contienen.
En una LAN o entorno corporativo, la intercepción de SSL se ve así:
- Las estaciones de trabajo cliente intentan ir a
https://somesite
.
- El dispositivo de inspección lo ve, y sobre la marcha reemplaza el certificado
https://somesite's
con un certificado corporativo.
- Cada estación de trabajo en la red confía en el certificado corporativo, por lo que no se muestra ningún error.
- El cliente luego cifra la solicitud con el certificado corporativo, lo que permite que el dispositivo interno descifre e inspeccione el tráfico.
- Si todo está bien, el dispositivo de inspección volverá a cifrar los datos usando el certificado
https://somesite's
, y luego los pasará al destino, y responderá a la estación de trabajo.
De esta manera, los puntos finales son realmente https://somesite
y el dispositivo de inspección. Otra sesión ocurre entre la estación de trabajo y el dispositivo de inspección que se retransmite esencialmente a su destino final.
Esencialmente, el dispositivo de inspección en este caso está realizando lo que se conoce como un ataque de "intermediario", excepto aparentemente con permiso para hacerlo.