Mitmproxy如何捕获HTTPS请求？

一、Mitmproxy捕获HTTPS请求时的常见问题：SSL/TLS握手失败与证书信任问题

在使用Mitmproxy进行HTTPS流量拦截时，最常遇到的问题是SSL/TLS握手失败或浏览器提示“您的连接不是私密连接”、“证书不受信任”等错误。这类问题的本质在于：HTTPS协议基于公钥基础设施（PKI）实现加密通信，而Mitmproxy作为中间人（Man-in-the-Middle），必须生成并签发伪造的服务器证书来解密流量，若客户端不信任该伪造证书的根CA（证书颁发机构），则会拒绝连接。

1.1 为何出现SSL/TLS握手失败？

• 未安装Mitmproxy的CA证书：客户端（如浏览器、App）无法验证由Mitmproxy动态生成的服务器证书的合法性。
• 证书未正确导入或未启用信任：即使证书文件存在，若未在系统或浏览器的信任存储中启用“始终信任”，仍会触发安全警告。
• 证书过期或被吊销：Mitmproxy默认CA证书有效期为10年，但若手动删除或重置证书，旧证书将失效。
• 目标应用使用证书绑定（Certificate Pinning）：部分移动App（如银行类App）通过SSL Pinning技术直接校验服务器真实证书指纹，绕过系统CA信任链，导致Mitmproxy无法欺骗。
• TLS版本或加密套件不兼容：某些服务仅支持现代TLS 1.3或特定加密算法，而Mitmproxy配置不当可能导致协商失败。

1.2 浏览器提示证书不信任的根本原因

当Mitmproxy拦截HTTPS请求时，它会：

1. 拦截客户端对目标服务器（如https://example.com）的请求；
2. 向目标服务器建立真实TLS连接，获取真实证书；
3. 使用本地生成的mitmproxy-ca-cert作为根CA，签发一个伪造的example.com证书；
4. 将伪造证书返回给客户端；
5. 客户端尝试验证该证书时，发现其签发者不在受信任的根证书列表中，因此抛出安全警告。

二、Mitmproxy CA证书的安装与配置流程

要实现对HTTPS流量的安全解密与监听，必须完成Mitmproxy CA证书的正确部署。以下是跨平台的详细操作步骤。

2.1 生成或定位Mitmproxy CA证书

Mitmproxy首次运行时会自动生成CA证书，默认路径如下：

~/.mitmproxy/mitmproxy-ca-cert.pem     # PEM格式（通用）
~/.mitmproxy/mitmproxy-ca-cert.p12      # PFX/PKCS#12格式（Windows）
~/.mitmproxy/mitmproxy-dhcp.conf        # 可选DHCP配置
    

可通过以下命令重新生成证书：

2.2 各平台证书安装方法

• macOS系统：
  1. 打开“钥匙串访问”应用；
  2. 将mitmproxy-ca-cert.pem拖入“系统”钥匙串；
  3. 双击证书，展开“信任”选项，设置“始终信任”；
  4. 重启浏览器生效。
• Windows系统：
  1. 双击mitmproxy-ca-cert.p12文件；
  2. 选择“本地计算机”存储位置；
  3. 导入至“受信任的根证书颁发机构”；
  4. 确认证书属性中标记为“可信”。
• Linux（Ubuntu/GNOME）：

  sudo cp mitmproxy-ca-cert.pem /usr/local/share/ca-certificates/mitmproxy.crt
  sudo update-ca-certificates

• Android设备：
  1. 将证书通过USB传输到手机；
  2. 进入“设置 → 安全 → 加密与凭据 → 安装证书”；
  3. 选择“CA证书”并安装；
  4. 注意：Android 7+默认不信任用户CA，需修改App的network-security-config。
• iOS设备：
  1. 通过邮件或网页下载mitmproxy-ca-cert.pem；
  2. 进入“设置 → 已下载描述文件”并安装；
  3. 在“关于本机 → 证书信任设置”中启用完全信任。

三、高级配置与故障排查策略

对于具备5年以上经验的IT从业者，应掌握更深层次的调试手段与安全考量。

3.1 使用mitmdump进行自动化监听

可结合Python脚本实现自定义逻辑：

from mitmproxy import http

def request(flow: http.HTTPFlow) -> None:
    if flow.request.pretty_host.endswith("example.com"):
        flow.request.host = "mock.example.local"

启动命令：

3.2 处理证书固定（Certificate Pinning）的应用

对于使用OkHttp、TrustKit等框架的App，常规CA安装无效。解决方案包括：

• 使用Frida或Xposed框架动态Hook证书验证函数；
• 反编译APK，修改network-security-config.xml；
• 使用Objection工具自动绕过常见Pin机制：objection explore --startup-command "android sslpinning disable"

3.3 Mitmproxy配置优化建议

3.4 安全风险与合规性提醒

Mitmproxy的CA证书一旦泄露，攻击者可利用其解密所有经该CA签名的HTTPS流量。建议：

• 定期轮换CA证书（mitmproxy --set cadir=/path/to/newca）；
• 限制证书导出权限，避免传播至非测试设备；
• 在企业环境中结合零信任架构，实施设备级准入控制。

四、可视化流程图：Mitmproxy HTTPS解密全过程

graph TD
    A[客户端发起HTTPS请求] --> B{Mitmproxy是否拦截?}
    B -- 是 --> C[Mitmproxy连接真实服务器]
    C --> D[获取真实服务器证书]
    D --> E[用本地CA签发伪造证书]
    E --> F[返回伪造证书给客户端]
    F --> G{客户端是否信任CA?}
    G -- 否 --> H[显示证书错误/终止连接]
    G -- 是 --> I[建立TLS隧道，解密流量]
    I --> J[记录/修改HTTP流量]
    J --> K[转发请求至服务器]
    K --> L[返回响应，重新加密]
    L --> M[客户端接收响应]