¿Es posible descifrar el tráfico SSL en Wireshark si no tiene el certificado del servidor?
Al realizar algunas pruebas con SSL y Wireshark, las personas afirman que Wireshark solo descifra SSL si se proporciona el certificado.
¿Pero no se le entrega el certificado SSL al cliente cuando se conecta? Entonces, básicamente, ¿alguien podría simplemente capturar el certificado SSL y quizás usarlo maliciosamente?
Para descifrar necesita la clave privada . El certificado del servidor, enviado como parte de los pasos iniciales de la conexión SSL (el "saludo"), solo contiene la clave pública (que no es suficiente para descifrar). Algunas personas llaman "certificado" a la unión del certificado y su clave privada, mientras que otras (como yo) dicen "certificado" solo para la parte pública (según X.509 ), por lo tanto, un flujo infinito de confusión.
Tener el certificado no te ayudará a descifrar el tráfico SSL. SSL utilizará un protocolo de intercambio de claves para establecer un "secreto maestro" entre el cliente y el servidor que se utiliza para cifrar el tráfico mediante un cifrado simétrico.
Para interceptar y modificar HTTPS utilizo BURP , pero hay otros como el proxy de Charles (barato) y Zed Proxy de ataque (libre y de código abierto).
Lea otras preguntas en las etiquetas tls