Decifratura TLS
Il traffico HTTPS catturato è testo cifrato per impostazione predefinita. Trace Eagle abbina automaticamente le chiavi di sessione al loro traffico e decifra il testo cifrato in testo in chiaro: le richieste e le risposte decifrate compaiono proprio accanto ai byte grezzi, senza bisogno di esportare le chiavi separatamente o di abbinarle a mano.
Cosa si decifra automaticamente
Sezione intitolata “Cosa si decifra automaticamente”- Browser, app Electron e comuni client HTTP(S): si decifrano immediatamente, catturati in testo in chiaro.
- TLS 1.2 e TLS 1.3, HTTP/1.1, HTTP/2 e HTTP/3 (QUIC) rientrano tutti nella copertura.
Cosa richiede un passaggio in più
Sezione intitolata “Cosa richiede un passaggio in più”- App con certificate pinning, o che usano una cifratura interna: i proxy comuni vengono respinti. Passa alla Cattura in chiaro a livello applicativo per leggere il testo in chiaro direttamente dall’interno del programma, dove il pinning non è un ostacolo.
- Quando devi decifrare tramite un proxy: installa una volta un certificato di cattura sul target, vedi Gestione e installazione dei certificati. La maggior parte dei metodi di cattura (cattura diretta dalla NIC, mira a un programma specifico, cattura in chiaro a livello applicativo) non richiede alcun certificato.
Cosa per ora non si può decifrare
Sezione intitolata “Cosa per ora non si può decifrare”Alcuni programmi non espongono alcun modo per ottenere le loro chiavi. Per questi, la vista per pacchetto / grezza può comunque mostrare il traffico cifrato stesso; semplicemente non puoi ancora vederne il testo in chiaro. L’app indica fino a che punto riesce ad arrivare per ciascun programma specifico, così non devi tirare a indovinare.
Quando la decifratura non riesce, controlla prima questi punti
Sezione intitolata “Quando la decifratura non riesce, controlla prima questi punti”- Hai iniziato a catturare abbastanza presto? Le chiavi si ottengono quando la connessione viene stabilita, quindi devi iniziare a catturare prima che il traffico avvenga; una connessione già in corso quando hai iniziato a catturare potrebbe non essere decifrabile.
- Il certificato è installato (quando decifri tramite un proxy)? Verifica che il certificato di cattura sia attendibile sul target, vedi Gestione e installazione dei certificati.
- Si tratta di certificate pinning? Se continua a dare errore e non si decifra nemmeno con il certificato installato, il pinning è la causa probabile; passa alla Cattura in chiaro a livello applicativo.
- Ancora niente? Vedi le FAQ.