復号化可能な SSL/TLS 通信のパケットを取得する方法
Article ID: CTX224732
Updated On:
Description
SSL/TLS 通信が Diffie-Hellman 鍵(以下 DH鍵)交換により暗号化されている場合、秘密鍵やセッション鍵からの複合化ができません。一般的にこのようなパケットからの通信内容の詳細な調査を行なうことは困難です。
SSL/TLS で通信を行う場合、通信の最初にエンドポイント側とサーバー側の双方で利用できる暗号スイートを交換し、双方が利用できる暗号スイートにて通信を行います。このため、エンドポイント側とサーバー側のどちらか一方で DH 鍵の使用を抑止する (利用できる暗号スイートの設定から DH を含むものを除く) ことにより、DH 鍵による通信を抑止することができます。
DH 鍵により暗号化されているかは、パケットのServer Helloから確認することができます。
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)
Instructions
次のどちらかの手順で、DH 鍵による通信を抑止することができます。手順 A. エンドポイントで DH 鍵の使用を抑止する
(お使いのブラウザによって設定方法が異なります)
手順 B. Webサーバ(StoreFront/WebInterface)で DH 鍵の使用を抑止する
また、場合によっては中間機器(ロードバランサーなど)で DH 鍵の使用を抑止することが可能な場合もあります。
[A. B の設定手順について]
手順 A. エンドポイントで DH 鍵の使用を抑止する手順
以下は Internet Explorer を使用した場合の手順となります。
1. 当該のエンドポイント端末に管理者でログインします。
2. gpedit.msc等からローカルグループポリシーを開きます。
3. コンピュータの構成 -> 管理用テンプレート -> ネットワーク -> SSL 構成設定のノードを選択し、SSL 暗号の順位 を開きます。
4. 有効を選択し、SSL 暗号の中に含まれているテキストから ECDHE もしくは DHE を含むエントリを全て削除します。
5. OK を押下し、このポリシーの設定を閉じます。
6. ブラウザを再起動します。
なお、このポリシーを未構成に戻しますと、設定はデフォルトの状態に戻ります。
参考情報:
Disable the Diffie-Hellman cipher for Internet Explorer
http://joji.me/en-us/blog/walkthrough-decrypt-ssl-tls-traffic-https-and-http2-in-wireshark#disable-the-diffie-hellman-cipher-for-internet-explorer
Disable the Diffie-Hellman cipher for Internet Explorer
http://joji.me/en-us/blog/walkthrough-decrypt-ssl-tls-traffic-https-and-http2-in-wireshark#disable-the-diffie-hellman-cipher-for-internet-explorer
手順 B. Webサーバ(StoreFront/WebInterface)で DH 鍵の使用を抑止する手順
1. Webサーバーに管理者でログインします。
2. 下記のレジストリを開き、内容をテキストファイルにバックアップします。
HKLM\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002
キー: Functions
3. 設定されていたテキストから ECDHE もしくは DHE を含むエントリを削除し、これを Functions のキーに設定します。
4. IIS を再起動します。
5. エンドポイント側で、ブラウザを再起動します。
ログの採取完了後に、レジストリ設定を元に戻します。
参考情報:
Disable the Diffie-Hellman cipher for IIS server
http://joji.me/en-us/blog/walkthrough-decrypt-ssl-tls-traffic-https-and-http2-in-wireshark#disable-the-diffie-hellman-cipher-for-iis-server
=================================================================Disable the Diffie-Hellman cipher for IIS server
http://joji.me/en-us/blog/walkthrough-decrypt-ssl-tls-traffic-https-and-http2-in-wireshark#disable-the-diffie-hellman-cipher-for-iis-server
注意:レジストリ エディターの使用を誤ると、深刻な問題が発生する可能性があり、
Windows の再インストールが必要になる場合もあります。レジストリ エディターの誤用による障害に対して、
Citrix では一切責任を負いません。レジストリ エディターは、お客様の責任と判断の範囲でご使用ください。
また、レジストリ ファイルのバックアップを作成してから、レジストリを編集してください。
=================================================================
Issue/Introduction
この文書では、SSL 通信のパケットを復号できるように設定する方法について記述しています。
Additional Information
ログ採取については、以下の情報をご参照ください。
CTX116557 How to Decrypt SSL and TLS Traffic Using Wireshark
https://support.citrix.com/article/CTX116557
CTX135889 How to Export and Use SSL Session Keys to Decrypt SSL Traces Without Sharing the SSL Private Key
https://support.citrix.com/article/CTX135889
CTX223585 How to remove ECDHE Ciphers from NetScaler Gateway
https://support.citrix.com/article/CTX223585
CTX116557 How to Decrypt SSL and TLS Traffic Using Wireshark
https://support.citrix.com/article/CTX116557
CTX135889 How to Export and Use SSL Session Keys to Decrypt SSL Traces Without Sharing the SSL Private Key
https://support.citrix.com/article/CTX135889
CTX223585 How to remove ECDHE Ciphers from NetScaler Gateway
https://support.citrix.com/article/CTX223585
Was this article helpful?
Yes
No
Powered by
