Fiddler抓包如何配置HTTPS解密？

1. 问题背景与现象描述

在使用Fiddler进行网络调试时，开发者常期望能够捕获并分析HTTPS加密流量。然而，许多用户发现尽管已启用“Decrypt HTTPS traffic”选项，所有HTTPS请求仍仅显示为CONNECT隧道，无法查看具体的HTTP报文内容（如请求头、响应体等）。这种现象的本质是Fiddler未能成功执行中间人解密（MITM），导致其只能建立隧道代理而不能解析加密数据。

该问题的根本原因通常包括以下三类：

• Fiddler未正确开启HTTPS解密功能；
• 操作系统或浏览器未信任Fiddler自动生成的根证书（Root CA）；
• 目标应用启用了证书绑定（Certificate Pinning）或HSTS策略，绕过系统证书信任机制。

2. 基础配置：启用HTTPS解密功能

要实现HTTPS流量解密，首先必须在Fiddler中明确启用相关设置。以下是标准操作流程：

1. 打开Fiddler → 进入菜单栏【Tools】→【Options】；
2. 切换至【HTTPS】标签页；
3. 勾选“Decrypt HTTPS traffic”；
4. 勾选“Ignore server certificate errors (unsafe)”以容忍部分SSL异常；
5. 确认下方提示是否显示“Trusting the Fiddler Root certificate…”并点击“Actions”按钮安装证书。

此时Fiddler会生成一个名为FiddlerRoot certificate的本地CA证书，并尝试将其注册到Windows受信任的根证书存储区。

3. 证书信任机制详解与验证方法

Fiddler通过生成自签名CA证书来签发动态的服务器证书，从而实现对HTTPS连接的中间人解密。但若客户端（操作系统、浏览器、App）不信任此CA，则TLS握手将失败或拒绝代理介入。

验证证书是否已被系统信任的方法如下：

4. 深层排查：证书安装失败与修复方案

即使点击了“Trust Root Certificate”，也可能因权限不足或证书冲突导致安装失败。常见错误包括：

Error: "The certificate is already installed."
Cause: 冲突版本残留，需手动删除旧证书后重试。
Solution:
  1. 打开 certmgr.msc
  2. 在“Personal”和“Trusted Root Certification Authorities”中搜索“Fiddler”
  3. 删除所有相关条目
  4. 重启Fiddler并重新点击“Trust Root Certificate”

此外，可使用PowerShell脚本批量验证证书状态：

Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.Subject -like "*Fiddler*"} | Format-List Subject, Thumbprint, NotAfter

5. 浏览器与应用层面的信任隔离

现代浏览器如Chrome和Edge采用基于Chromium的证书策略，可能忽略系统级证书设置。特别是当使用用户配置文件或沙箱环境时，需确保Fiddler证书被纳入其信任链。

对于Firefox，因其使用NSS数据库而非Windows证书存储，必须通过其内置接口导入证书：

1. 导出Fiddler根证书（.cer格式）；
2. 进入Firefox证书管理界面；
3. 点击“Import…”并选择文件；
4. 勾选“Trust this CA to identify websites”。

6. 高级障碍：证书绑定（Certificate Pinning）应对策略

越来越多的应用（如银行App、社交平台客户端）采用证书固定技术，直接校验服务器公钥指纹，绕过常规CA验证流程。这使得Fiddler等工具无法通过伪造证书完成MITM。

典型表现包括：

• App崩溃或提示“安全连接失败”；
• Fiddler日志显示TLS handshake error；
• 仅CONNECT请求出现，无后续通信。

解决方案需结合逆向工程手段：

1. 使用Xposed框架（Android）配合JustTrustMe模块禁用SSL Pinning；
2. 利用Frida脚本Hook关键证书验证函数；
3. 在越狱/iOS模拟器环境中修改App二进制代码移除pinning逻辑。

7. 调试流程图：系统化诊断HTTPS解密失败

graph TD
    A[启动Fiddler] --> B{是否勾选Decrypt HTTPS?}
    B -- 否 --> C[勾选Decrypt HTTPS Traffic]
    B -- 是 --> D[检查FiddlerRoot证书是否信任]
    D -- 未安装 --> E[运行Actions > Trust Root Certificate]
    D -- 已安装 --> F[测试访问https://httpbin.org/get]
    F --> G{能否看到明文请求?}
    G -- 否 --> H[检查浏览器/OS证书信任状态]
    H --> I{是否支持系统代理?}
    I -- 否 --> J[配置应用使用系统代理或PAC]
    I -- 是 --> K[怀疑Certificate Pinning]
    K --> L[尝试Frida/Xposed绕过]

8. 实践建议与最佳实践

为确保Fiddler稳定解密HTTPS流量，推荐遵循以下最佳实践：

• 始终以管理员身份运行Fiddler，避免证书安装权限问题；
• 定期清理旧版Fiddler证书防止冲突；
• 在多设备测试场景下，为每台设备单独导出并安装证书；
• 使用FiddlerScript自定义规则过滤敏感域名或跳过特定主机解密；
• 结合Wireshark抓包对比分析，定位是Fiddler层还是网络层问题；
• 启用Fiddler的日志输出功能（Log Viewer）跟踪TLS协商过程；
• 对于企业环境，考虑部署统一的代理信任策略（Group Policy推送证书）；
• 避免在生产环境中长期开启HTTPS解密以防潜在合规风险；
• 更新至最新版Fiddler Classic或迁移到Fiddler Everywhere以获得更好兼容性；
• 记录每次证书变更的时间戳与影响范围，便于审计追踪。