tcpdump tls

[Илья Шипицин]

пн, 27 июл. 2020 г. в 12:44, Eugene Grosbein <eugen на grosbein.net>:

> 27.07.2020 0:47, Slawa Olhovchenkov пишет:
>
> > А что-как можно сделать что бы расшифровать https сессию в .pcap?
> >
> > Нет, не сорм. Просто клиентский браузер какую-то фигню странную пишет,
> > типа
> >
> > ====
> > Server's response
> >
> > Full response:
> >     0 Missing status code HTTP/1.1
> > =====
> >
> >
> > и я хочу своими глазами увидеть что конкретно ему отправилось и что
> > именно пришло.
>
> В случае сеансовых ключей RSA можно попробовать в Wireshark:
> меню Редактирование/Параметры (Edit/Preference),
> дальше Protocols/TLS и там есть место вставить серверный ключ.
>


тут, вероятно, стоит сделать оговорку про FPS (forward perfect secrecy).
давным-давно, когда зрители фильмов про чебурашку еще были детьми, шифры
были такие,
что имея закрытый ключ сервера можно было декодировать SSL сессию.

потом пришли безопасники, сказали "непорядок" и ввели FPS шифры (сейчас
почти все такие, если вы специально
не ограничите, и то, не факт, что современный браузер будет с таким
работать).


поэтому нужны сессионные ключи. которые можно стырить из браузера или из
nginx (через специальную библиотеку)


>
> Для DHE/ECDHE сложнее, но вроде бы можно настроить популярные браузеры
> дампить сессионные ключи, чтобы потом можно было их использовать в
> Wireshark,
> в (Pre)-Master-Secret log filename.
>
>
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru на nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20200727/c217daf2/attachment.htm>