****

作为一名网络安全工程师，我每天都要和各种网络数据包打交道。说到抓包工具，Fiddler2绝对是圈内人的"瑞士军刀"。但很多新手遇到HTTPS网站就傻眼了——为啥Fiddler只能看到一堆乱码？今天我就用煮火锅的比喻，带你搞懂HTTPS证书的原理，再手把手教你用Fiddler2解密这些"加密外卖"。

一、HTTPS就像带锁的外卖箱

想象你在火锅店点外卖：

- HTTP时代：服务员直接用透明塑料袋送毛肚（数据），路上谁都能看见（明文传输）

- HTTPS时代：改用密码箱（SSL/TLS加密），只有你和店家持有钥匙（证书）

Fiddler默认就像个路人甲，当然打不开密码箱。我们需要让它变成"快递中转站"，给箱子装上自己的锁（安装根证书）。

二、Fiddler的"万能钥匙"工作原理

这就像快递柜的运营方：

1. 先在所有小区安装自家柜子（安装CA根证书到系统信任库）

2. 顾客寄件时换成快递柜专用箱（拦截HTTPS请求生成新证书）

3. 收件时用主钥匙开箱再重新打包（动态加解密流量）

具体技术流程：

```mermaid

sequenceDiagram

Client->>Fiddler: 访问https://bank.com

Fiddler->>Client: 伪造bank.com证书(含Fiddler公钥)

Client->>Fiddler: 用假证书加密数据

Fiddler->>Server: 用真实证书转发请求

Server->>Fiddler: 返回加密响应

Fiddler->>Client: 重新用假证书加密

```

三、实战配置五步走（Windows环境）

步骤1：开启HTTPS解密

打开Fiddler → Tools → Options → HTTPS：

- ?? Decrypt HTTPS traffic

- ?? Ignore server certificate errors

就像拿到快递公司的运营授权书

步骤2：导出根证书

点击Actions → Export Root Certificate to Desktop

会得到一个`FiddlerRoot.cer`文件，这就是我们的"主钥匙模具"

步骤3：安装到受信任区

双击证书 → 选择"本地计算机" → "将所有证书放入以下存储" → "受信任的根证书颁发机构"

相当于把钥匙模具交给物业保管

步骤4：手机端配置（抓APP必备）

在手机WiFi设置代理指向PC IP:8888，浏览器访问`http://IP:8888`下载证书

安卓需要额外设置锁屏密码才能安装，iOS需手动信任证书

步骤5：验证效果

访问https://www.baidu.com ，正常应该能看到：

GET https://www.baidu.com/ HTTP/1.1

Host: www.baidu.com

User-Agent: Mozilla/5.0...

如果还看到乱码，检查是否开了VPN或系统代理冲突

四、三大翻车现场排雷指南

??场景1：浏览器红色警告

典型报错："NET::ERR_CERT_AUTHORITY_INVALID"

- ?检查系统时间是否正确

- ?确认只安装了Fiddler根证书

- ?重启浏览器清除HSTS缓存（chrome://net-internals/

hsts）

??场景2：APP无法联网

比如微信提示"网络连接不可用"

- ?关闭代理试试能否恢复

- ?部分APP开启Certificate Pinning（如银行类）

解决办法：配合Xposed+JustTrustMe模块

??场景3：看不到预期数据包

典型症状：只能抓到CONNECT请求

- ?关闭杀毒软件的HTTPS扫描功能

- ?在Filters里取消勾选"No Host Filter"

五、安全人员的正确姿势

??重要提醒：这套方法千万别用来：

- 抓别人的聊天记录（违法！）

- 在公司内网随意嗅探（要书面授权！）

建议使用场景：

1. 测试自家APP的API安全性

2. 分析恶意软件通信行为

3. Debug第三方SDK的数据上报

记得用完及时删除证书！就像火锅店打烊后要把备用钥匙收回保险箱。

下次遇到TLS1.3或者HTTP/3怎么办？关注我后续的《对抗新型加密流量的五种骚操作》教程。现在不妨打开Fiddler试试抓取你常逛网站的登录请求，看看密码是不是真的全程加密？（提示：正规网站应该都是加密的哦）

TAG:fiddler2 https 证书,fiddler配置证书,fiddler证书下载,fiddler证书验证失败,fiddler证书生成,fiddler证书在哪