Если в корпоративной сети есть прокси-сервер, и клиенты настроены на его использование, можете ли вы прочитать зашифрованный веб-трафик до того, как он уйдет через прокси? Можно ли сделать трафик до того, как прокси не шифруется? Я уверен, что вы не можете, т.к. трафик зашифрован в стеке TCP на клиенте.
Вот такая ситуация. Клиент переходит на сайт обмена файлами. Я захватил трафик с помощью журналов bro и pcap. Могу ли я получить что-нибудь из SSL-трафика? Могу ли я каким-либо образом использовать прокси-сервер для буферизации шифрования и разрешить чтение клиентского трафика?
Нет, вы не можете читать трафик на прокси-сервере, если он настроен как обычный веб-прокси.
Вы можете читать трафик, если сделаете его прозрачным прокси с перехватом TLS посредником.
Каждый раз, когда устанавливается соединение TLS, клиент проверяет, соответствует ли сертификат, предоставленный удаленным сервером, доменному имени, и ответ подписывается правильно с использованием закрытого ключа сервера, который также соответствует сертификату.
Это гарантирует, что клиент подключится к правильному серверу, а не к неправильному объекту. Это один из важных моментов в обеспечении безопасности трафика между двумя сторонами.
Теперь можно настроить прокси, который будет перехватывать это рукопожатие. Однако в случае, если это работает правильно, необходимо добавить сертификат прокси в хранилище доверенных сертификатов на клиенте, чтобы клиент доверял этому сертификату прокси, действительному для всех доменов.
В заключение, вам необходимо установить сертификат прокси для каждого клиента, использующего прокси, чтобы отслеживать трафик TLS.
Одна из реализаций этого: https://wiki.squid-cache.org/Features/SslPeekAndSplice
По поводу вашего второго вопроса о захвате. Ответ на расшифровку захвата - нет. Фактическая полезная нагрузка TLS зашифрована с использованием алгоритма шифрования, и с помощью современных технологий невозможно расшифровать ее, не зная ключа, используемого для шифрования.