Estou tentando descriptografar o tráfego SSL no Wireshark e isso funciona parcialmente porque consigo visualizar os cabeçalhos descriptografados. O problema é que não vejo nenhum dos conteúdos do pacote, apenas seus cabeçalhos. Existe uma explicação para esse comportamento?
Um pouco mais detalhadamente:
usamos o openssl para gerar chaves e certificados com o comando:
openssl req -config *.cnf -new -x509 -extensions v3_ca -keyout *.key -out *.crt -days 1825
e, em seguida, para descriptografar a chave privada para um formato PKCS # 8, que supostamente suporta wireshark, emitimos este comando:
openssl pkcs8 -nocrypt -in *.key -informat DER -out *.key -outformat PEM
No Wireshark, emitimos os seguintes parâmetros na seção de descriptografia SSL:
10.10.10.10,443,http,*.key - onde 10.10.10.10 é o cliente que estamos tentando usar o MITM sslsniff. Nós também tentamos localhost e servidores IP sem sucesso. Alguma sugestão?
A conexão SSL provavelmente estava usando Diffie-Hellman para estabelecer a chave da sessão. O DH permite que duas partes estabeleçam um segredo compartilhado sobre um canal inseguro sem comunicação prévia. Isso significa que mesmo que você tenha a chave privada, não será possível determinar a chave da sessão inspecionando o tráfego. Para decodificar uma sessão DH, você deve habilitar MITM ativamente a conexão ou fazer com que uma das partes registre a chave da sessão.
Você poderia estar confundindo dados criptografados com dados compactados? Os servidores da Web geralmente usam alguma forma de compactação de dados (gzip ou deflate) que poderia obscurecer a carga para parecer que estava criptografada.