descifrado SSL en Wireshark

10

¿Es posible descifrar el tráfico SSL en Wireshark si no tiene el certificado del servidor?

Al realizar algunas pruebas con SSL y Wireshark, las personas afirman que Wireshark solo descifra SSL si se proporciona el certificado.

¿Pero no se le entrega el certificado SSL al cliente cuando se conecta? Entonces, básicamente, ¿alguien podría simplemente capturar el certificado SSL y quizás usarlo maliciosamente?

    
pregunta cprogcr 27.09.2012 - 22:48
fuente

3 respuestas

12

Para descifrar necesita la clave privada . El certificado del servidor, enviado como parte de los pasos iniciales de la conexión SSL (el "saludo"), solo contiene la clave pública (que no es suficiente para descifrar). Algunas personas llaman "certificado" a la unión del certificado y su clave privada, mientras que otras (como yo) dicen "certificado" solo para la parte pública (según X.509 ), por lo tanto, un flujo infinito de confusión.

    
respondido por el Thomas Pornin 27.09.2012 - 22:55
fuente
6

Tener el certificado no te ayudará a descifrar el tráfico SSL. SSL utilizará un protocolo de intercambio de claves para establecer un "secreto maestro" entre el cliente y el servidor que se utiliza para cifrar el tráfico mediante un cifrado simétrico.

Para interceptar y modificar HTTPS utilizo BURP , pero hay otros como el proxy de Charles (barato) y Zed Proxy de ataque (libre y de código abierto).

    
respondido por el rook 27.09.2012 - 22:53
fuente
0

¿qué pasa con la situación en la que se usa wireshark (o cualquier herramienta de análisis de tráfico) en un proxy de la empresa en el que tienen certificados raíz instalados? de esa manera el proxy puede hacer SSL inspection , vea aquí .

    
respondido por el fduff 28.09.2012 - 10:04
fuente

Lea otras preguntas en las etiquetas