DH è lo scambio di chiavi punto a punto. Il metodo migliore consiste nell'interrompere la crittografia e ricostruire un tunnel diverso fino al punto finale della rete. Ciò causerà un carico elevato.
La maggior parte delle aziende, non appena il pacchetto entra nella loro rete sicura, vengono inoltrate decodificate per consentire l'analisi senza impatto sulle prestazioni.
Penso che la maggior parte dei dispositivi non possa annusare quel tipo di traffico, quindi è necessario rompere il tunnel.
Anche se hai la chiave privata, la coppia di chiavi generata da DH è tra l'origine e la destinazione, i sistemi centrali non saranno in grado di ottenere la chiave.
Ciò che intendo nel rompere il tunnel è che i tuoi dispositivi abbiano i loro certificati e chiavi private allo stesso modo dei server e fungano da endpoint per la comunicazione.
[aggiunto]
Genera il tuo strumento csr e richiedi i certificati per ogni sito che possiedi. Se possiedi i siti non sarà un problema e sarai in grado di leggere i trafic. Come se il tuo dispositivo fosse un web server.
Molti strumenti non lo permettono. Altri lo consentono ma lo limitano a un piccolo numero di server virtuali ospitati.
La raccolta delle chiavi private dai server Web potrebbe non essere sufficiente. Devi rompere il tunnel e non origliarlo.
Per ottenere le chiavi private da ciascun sito. Il certificato del sito deve essere esportabile, è necessario conoscerne la password ed esportarlo in un file (chiave privata), quindi nei propri id è necessario procedere con l'importazione. Ma probabilmente è quello che hai già fatto a causa del fatto che la tua affermazione dice che puoi leggere trafic solo alcuni DH specifici non è possibile ... :)
Il processo di esportazione delle chiavi cambia un po 'se hai una finestra o un Linux, facile da trovare in Internet.
Perché puoi leggere TLS_ECDHE_RSA_WITH_AES_256_GCM_S HA384 che non stanno utilizzando Diffie-Hellman Ephemeral (DHE / EDH) o suite di cifratura effimera RSA per lo scambio di chiavi ma curva eclittica. se si snif i pacchetti e si vede se la suite di crittografia specificata inizia TLS_DHE o SSL_DHE, non sarà possibile decodificare i dati.