La crittografia SSL / TLS viene eseguita end-to-end, il che significa che solo ciascuna estremità può decodificare la sessione con successo. Il punto è che Wireshark, o altri strumenti di cattura / sniffaggio della rete, non possono intercettare i dati contenuti.
In una LAN o in un ambiente aziendale, l'intercettazione SSL si presenta così:
- Le workstation client cercano di passare a
https://somesite .
- Il dispositivo di ispezione lo rileva e al volo sostituisce il certificato
https://somesite's con un certificato aziendale.
- Ogni workstation sulla rete considera affidabile il certificato aziendale, quindi non viene visualizzato alcun errore.
- Il client quindi crittografa la richiesta con il certificato aziendale, consentendo all'appliance interna di decrittografare e ispezionare il traffico.
- Se tutto va bene, l'appliance di ispezione re-crittografa i dati utilizzando il certificato di
https://somesite's , quindi la trasferisce alla destinazione e risponde alla workstation.
In tal modo, gli endpoint sono in realtà https://somesite e l'appliance di ispezione. Un'altra sessione si verifica tra la workstation e l'appliance di ispezione che viene essenzialmente inoltrata alla sua destinazione finale.
Essenzialmente, l'appliance di ispezione in questo caso sta eseguendo quello che è noto come un attacco "man-in-the-middle", tranne apparentemente con il permesso di farlo.