Fiddler 无法“自动识别”目标网站的原始 HTTPS 证书,但可以通过 安装 Fiddler 自己的根证书(Root Certificate)并启用 HTTPS 解密功能,让 Fiddler 充当中间人(Man-in-the-Middle, MITM),从而解密并查看 HTTPS 流量。
这个过程不是“识别”,而是 主动替换证书。以下是完整操作步骤:
正确理解:Fiddler 如何解密 HTTPS
- 默认情况下:Fiddler 只能抓到 HTTPS 的域名和端口(TLS 握手),看不到请求/响应内容(加密)。
- 启用 HTTPS 解密后:
- Fiddler 会动态生成一个 伪造的证书(由 Fiddler 根证书签发)
- 客户端(浏览器/App)信任 Fiddler 根证书 → 接受伪造证书
- Fiddler 与目标服务器建立真实 HTTPS 连接
- 双向解密:客户端 ↔ Fiddler(明文)↔ 目标服务器(加密)
🔒 本质:中间人攻击(MITM),但用于合法调试。
操作步骤:配置 Fiddler 解密 HTTPS
第一步:在 Fiddler 中启用 HTTPS 解密
- 打开 Fiddler
- 菜单栏:Tools → Options → HTTPS
- 勾选以下选项:
- ☑ Capture HTTPS CONNECTs
- ☑ Decrypt HTTPS traffic
- ☑ Ignore server certificate errors (unsafe)(可选,避免证书警告)
- 点击 Actions → Trust Root Certificate
→ 系统会弹出证书安装窗口
第二步:安装 Fiddler 根证书(关键!)
- 在弹出的证书窗口中:
- 点击 Install Certificate...
- 选择 Local Machine(当前用户也可,但建议本地计算机)
- 存储位置:Trusted Root Certification Authorities(受信任的根证书颁发机构)
- 完成安装
💡 验证是否成功:
浏览器访问 https://example.com,点击地址栏锁图标 → 证书路径应显示 DO_NOT_TRUST_FiddlerRoot
📱 抓取手机 App 的 HTTPS 流量(额外步骤)
1. 电脑端配置同上(启用 HTTPS 解密 + 安装根证书)
2. 手机端安装 Fiddler 根证书
- 手机连接与电脑同一 Wi-Fi
- 浏览器访问:http://<电脑IP>:8888(如 http://192.168.1.100:8888)
- 点击 FiddlerRoot certificate 下载
- Android:
- 设置 → 安全 → 加密与凭据 → 安装证书(部分机型需设为“VPN 和应用”信任)
- Android 7+ 默认不信任用户证书,需 root 或使用 Magisk 模块 / 将证书移至系统区
- iOS:
- 下载后 → 设置 → 已下载描述文件 → 安装
- 设置 → 通用 → 关于本机 → 证书信任设置 → 启用完全信任
3. 手机设置代理指向 Fiddler
- Wi-Fi → 手动代理 → 主机:电脑 IP,端口:8888
⚠️ 常见问题与限制
问题 | 解决方案 |
|---|---|
App 仍无法抓包(空白或报错) | App 使用了 证书绑定(Certificate Pinning),需绕过(如 Frida、Objection、重打包) |
浏览器提示“您的连接不是私密连接” | 未正确安装 Fiddler 根证书到“受信任的根证书颁发机构” |
Fiddler 不显示 HTTPS 内容 | 检查是否勾选了 Decrypt HTTPS traffic |
Android 7+ 抓不到 App 流量 | 用户证书不被信任,需将 Fiddler 证书移至系统证书区(需 root) |
🔐 安全提醒
- 仅在测试环境使用!Fiddler 会解密所有 HTTPS 流量,包括账号密码。
- 使用完毕后,建议:
- 关闭 Decrypt HTTPS traffic
- 从系统中 删除 Fiddler 根证书
总结
Fiddler 并非“自动识别”HTTPS 证书,而是通过 安装自己的根证书 + 动态生成伪造证书 实现 HTTPS 解密。
核心步骤 = 启用解密 + 安装根证书(电脑+手机)+ 配置代理
完成以上配置后,你就能在 Fiddler 中像查看 HTTP 一样,清晰看到 HTTPS 请求头、参数、JSON 响应等内容。
如需具体指导 绕过某款 App 的证书绑定(如微信、银行类 App),可继续提问(注意合规性)。
浙公网安备 33010602011771号