当Fiddler可以解密HTTPS时，为什么还要使用HTTPS

Question

我刚刚发现Fiddler可以解密HTTPS流量。

例如，我使用HTTPS在本地主机上部署了一个网站。当在Fiddler中检查数据包时，我能够查看所有信息，因为它有解密的选项。

我的问题是，当Fiddler可以很容易地解密HTTPS时，为什么还要使用HTTPS？

Answer 1

小提琴手执行MITM技术。

要使其正常工作，您需要信任其证书：

http://www.fiddler2.com/fiddler/help/httpsdecryption.asp

如果你不这样做，它不会解密任何东西。

Fiddler2如何调试HTTPS流量？

答: Fiddler2依靠一种“中间人”的方法来拦截HTTPS。对于web浏览器，Fiddler2声称是安全web服务器，而对于web服务器，Fiddler2模拟web浏览器。为了伪装成web服务器，Fiddler2动态生成HTTPS证书。

您的web浏览器不信任Fiddler的证书(因为Fiddler不是受信任的根证书颁发机构)，因此当Fiddler2拦截您的流量时，您将在浏览器中看到一条HTTPS错误消息...

Answer 2

为了解密HTTPS通信，您必须首先将Fiddler的根证书安装到“受信任/根证书”列表中。Fiddler的根证书不是默认情况下随操作系统提供的根证书。当你尝试安装它时，操作系统通常会警告你。

这样，您就可以显式地开始信任由Fiddler的根证书签名的任何证书。当您现在发出https请求时，Fiddler将与您一起执行中间人攻击。

假设您以https://google.com的形式发出请求。Fiddler现在将充当实际的谷歌服务器，并将为Google.com创建一个虚拟证书，并使用Fiddler的根证书对其进行签名。您将收到这个由Fiddler签名的虚拟证书。此证书将通过您的设备的验证，因为Fiddler的根证书现在位于您信任的证书中。现在，您的设备将开始通过安全的HTTPS连接与Fiddler通信。Fiddler会将你的信息转发给Google.com，然后再发回给你。当然，Fiddler将能够解密它们。

需要注意的是，从Fiddler到Google的流量将通过第二个安全的https通道进行。

因此，不必担心https提供的安全性。