Ho un file pcap di 14 pacchetti SSL sniffati. L'ho caricato qui:
L'ho aperto con wireshark. Vedo i 14 pacchetti. Il più grande di sembra contenere un certificato autofirmato (come è fatto in un tutorial su internet populat). Vedo che il pacchetto contiene test come "Some-state" e "Intenet Widget Pty Ltd" ... Come posso estrarre il vero certificato (forse in formato crt?
Con le nuove versioni di wireshark:
Analyze >> Decode As . Ora mostrerà i dettagli SSL per i pacchetti. 
Export Packet Bytes in un file, ad esempio cert.der . openssl x509 -inform der -in cert.der -text puoi dare un'occhiata al certificato, con openssl x509 -inform der -in cert.der -outform pem -out cert.crt puoi convertirlo in un formato PEM (cioè cosa intendi con il formato crt). Esegui il file PCAP tramite Network Miner . Estrae certs e altri tipi di file.
Nativamente, tramite Wireshark :
How to obtain the SSL certificate from a Wireshark packet capture:
- From the Wireshark menu choose Edit > Preferences and ensure that “Allow subdissector to reassemble TCP streams” is ticked in the TCP protocol preferences
- Find “Certificate, Server Hello” (or Client Hello if it is a client-side certificate that you are interested in obtaining.
- In the packet detail pane, expand the Secure Sockets Layer protocol
- Expand the “TLSv1 Record Layer: Handshake Protocol: Certificate” field
- Expand the “Handshake Protocol: Certificate” field
- Expand the list of certificates. There may be one or more certificates depending upon whether a chain of trust is present. The first certificate is the server certificate, the second is the signing Certificate Authority, the third the CA that trusted/signed that Certificate Authority and so on.
- Right-click on the on the certificate that you wish to obtain then choose “Export selected packet bytes…” and name the file with a .der extension.
In alternativa , strumenti come ssldump o Minatore di rete (e indubbiamente altri) possono essere utilizzati.