Decrypt TLS Traffic with Wireshark

Hallo zusammen,

Ich habe schon in 2012 versucht mit Network Monitor TLS Traffic zu entschlüsseln. Leider hat das damals nicht geklappt.

Heute zeige ich euch wie man das mit Wireshark macht.

Was benötigt man dazu:

• Wireshark https://www.wireshark.org/download.html
• Private Key des Zertifikats (*.pfx)

Export Private Key in ein PFX File

Wie exportiert man den Private Key in eine PFX Datei.

Da das PFX den Private Key des Zertifikats enthält, muss die Datei zusätzlich mit einem Passwort geschützt werden.

Wireshark Settings

Edit --> Preferences --> Protocols --> SSL

Die IP, den Port, das Protokoll und das PFX inkl Passwort angeben

In früheren Versionen von Wireshark konnte man noch keine PFX Files verwenden. Da musste mit Openssl der Privatekey exportiert werden. Und in der Wireshark Konfig dann "keyout.pem" verwendet werden.

openssl pkcs12 -nodes -in ICESRV07.corp.icewolf.ch.pfx -out key.pem -nocerts -nodes
openssl rsa -in key.pem -out keyout.pem

Wie man in folgendem Screenshot des Netzwerkverkehrs sieht, konnte der Traffic komplett entschlüsselt werden.

Quelle:

• http://blogs.technet.com/b/nettracer/archive/2013/10/12/decrypting-ssl-tls-sessions-with-wireshark-reloaded.aspx