Salta ai contenuti

Decifratura TLS

Il traffico HTTPS catturato è testo cifrato per impostazione predefinita. Trace Eagle abbina automaticamente le chiavi di sessione al loro traffico e decifra il testo cifrato in testo in chiaro: le richieste e le risposte decifrate compaiono proprio accanto ai byte grezzi, senza bisogno di esportare le chiavi separatamente o di abbinarle a mano.

  • Browser, app Electron e comuni client HTTP(S): si decifrano immediatamente, catturati in testo in chiaro.
  • TLS 1.2 e TLS 1.3, HTTP/1.1, HTTP/2 e HTTP/3 (QUIC) rientrano tutti nella copertura.
  • App con certificate pinning, o che usano una cifratura interna: i proxy comuni vengono respinti. Passa alla Cattura in chiaro a livello applicativo per leggere il testo in chiaro direttamente dall’interno del programma, dove il pinning non è un ostacolo.
  • Quando devi decifrare tramite un proxy: installa una volta un certificato di cattura sul target, vedi Gestione e installazione dei certificati. La maggior parte dei metodi di cattura (cattura diretta dalla NIC, mira a un programma specifico, cattura in chiaro a livello applicativo) non richiede alcun certificato.

Alcuni programmi non espongono alcun modo per ottenere le loro chiavi. Per questi, la vista per pacchetto / grezza può comunque mostrare il traffico cifrato stesso; semplicemente non puoi ancora vederne il testo in chiaro. L’app indica fino a che punto riesce ad arrivare per ciascun programma specifico, così non devi tirare a indovinare.

Quando la decifratura non riesce, controlla prima questi punti

Sezione intitolata “Quando la decifratura non riesce, controlla prima questi punti”
  1. Hai iniziato a catturare abbastanza presto? Le chiavi si ottengono quando la connessione viene stabilita, quindi devi iniziare a catturare prima che il traffico avvenga; una connessione già in corso quando hai iniziato a catturare potrebbe non essere decifrabile.
  2. Il certificato è installato (quando decifri tramite un proxy)? Verifica che il certificato di cattura sia attendibile sul target, vedi Gestione e installazione dei certificati.
  3. Si tratta di certificate pinning? Se continua a dare errore e non si decifra nemmeno con il certificato installato, il pinning è la causa probabile; passa alla Cattura in chiaro a livello applicativo.
  4. Ancora niente? Vedi le FAQ.