对于在本地调试中使用的开发人员来说，自签名证书安全吗？

Question

我在家里工作所用的电脑和个人使用的电脑(游戏、社交媒体)，当然还有网上银行一样。

我是后端开发人员，最近，我开始与fiddler合作，拦截来自移动应用程序的请求，用于调试和API.在探索这个工具时，我看到了fiddler拥有和配置了一些使用这些证书和解密头以及请求和响应体的配置。

我想知道在计算机上安装这些自签名证书是否安全，比如Fiddler，Postman，它们不是打开了安全漏洞吗？

Answer 1

我想知道在计算机上安装这些自签名证书是否安全，比如Fiddler，Postman，它们不是打开了安全漏洞吗？

当使用拦截代理(如Fiddler和/或BurpSuite )时，需要在浏览器中导入证书。您必须信任此证书才能拦截HTTPS通信量。

您所信任的证书是在您的计算机上生成的，对于安装这些工具的所有用户来说应该是不同的。在出现偏执的情况下，您可以在安装这些工具后重新生成证书(至少我知道在BurpSuite中是可能的)

我建议只在(一)浏览器中安装证书，并使用其他浏览器进行非开发工作，如银行业务。