IT Blog | michael wessel

Entschlüsselung SSL / HTTPS mit Wireshark | michael wessel Blog

Geschrieben von Team von michael wessel | 06.2016

Heute möchte ich kurz auf ein wichtiges Tool beim Troubleshooting für HTTPS-Anwendungen eingehen. Ich habe mit vielen Kunden gesprochen, die nicht die gesamte Kommunikationskette verschlüsseln, um im Fehlerfall weiter per Wireshark mitlesen zu können. Mit der richtigen Anleitung ist es aber gar nicht so kompliziert auch SSL / HTTPS gesicherten Verkehr zu entschlüsseln.

Wichtige Anmerkungen:

  • Natürlich brauchen wir die jeweiligen privaten Schlüssel um die Verbindung zu entschlüsseln.
  • Darüber hinaus sollte das Vorgehen vorab mit den Kollegen der IT-Security abgestimmt werden.
  • Wenn die SSL / HTTPS Verbindung mit forward secrecy ciphers verschlüsselt wurde, bleibt Sie auch verschlüsselt.
  • Citrix NetScaler Systeme können ab der Firmware 11.0 Inhalte aus SSL-Verbindungen tracen und unverschlüsselte wegschreiben.
    • Das gilt natürlich nur für Traffic, den wir innerhalb der NetScaler Appliance unverschlüsselt bearbeiten (nicht SSL_BRIDGE).
    • CLI Command: start nstrace -mode SSLPLAIN

Entschlüsslung von SSL / HTTPS Verbindungen

Zuerst müssen wir uns um den privaten Schlüssel kümmern. Diesen benötigen wir ohne schützende Passphrase. Idealerweise öffnen wir den Schlüssel einmal im Texteditor und schauen uns den Schlüssel einmal an.

Im aktuellen Beispiel habe ich einen verschlüsselten privaten Schlüssel gewählt. Erkennen kann man es direkt an der zweiten Zeile… Und ja, ich habe den Inhalt des Schlüssels durch wahllose manuelle Zeichen ersetzt. 😉

Diesen verschlüsselten Schlüssel müssen wir nun erst einmal entschlüsseln. Der entsprechende OpenSSL Befehl lautet:

  • openssl rsa -in privatekey.withpassphrase.openssl -out

Das Ergebnis sehen wir hier:

Im weiteren Verlauf müssen wir jetzt nur noch Wireshark überzeugen, den entschlüsselten privaten Schlüssel für die Entschlüsselung des Datenverkehrs zu nutzen.

Auf meinem Mac OS finde ich die nötigen Einstellungen unter dem Programmmenü Wireshark / Preferences

 

Wir müssen nun nur das Protokoll „SSL“ auswählen und die RSA Keys Liste pflegen.

 

 

Der private Schlüssel wird nun eingesetzt, um die beschriebene Verbindung zur Darstellung zu entschlüsseln.
Vollständigen Beitrag anzeigen