Fiddler Web 调试器 - 为什么我不能“调试”https 请求？

Question

我开始使用 Fiddler，我希望能够使用它来调试 https 请求。

我阅读了“配置 HTTPS 捕获”部分 以下文章：http://www.kleinfelter.com/content/using-fiddler-capture-encrypted-traffic-https

所以我决定更改 Fiddler 的属性以启用 https 请求。我检查了“捕获 HTTPS 连接”和“解密 HTTPS 流量”

单击“确定”按钮后，我的浏览器阻止了任何 https 请求。因此，我无法进入任何包含个人信息的网站，例如 Facebook 或 Gmail。我从浏览器收到的错误消息是： 您的连接不是私密的

攻击者可能试图从 www.facebook.com（例如，密码、消息或信用卡）。 NET::ERR_CERT_AUTHORITY_INVALID

我可能需要更改浏览器 (Chrome) 的属性，以便在 fiddler 工作时提交 https 请求。我知道它可能不安全，但是一旦我用完 Fiddler，我会把它改回它的默认属性。

您知道我必须在浏览器中更改什么吗？

Answer 1

Fiddler 在充当 MITM 代理来解密 HTTPS 流量时使用自己的根 CA。 Windows 不信任此 CA（这很好，因为 Fiddler 没有颁发证书的权限）。 Fiddler 使用此根 CA 为您访问的 HTTPS 站点动态创建证书，使其能够解密内容。

您看到的消息是 Chrome 警告您动态 Fiddler 生成证书的颁发者未知。在大多数网站上，您可以通过接受警告来绕过这一点，但有些网站会采用额外的安全措施，例如严格传输安全 (HSTS) 和证书固定，浏览器会禁止您接受此类警告。

为避免浏览器显示警告，您应该将 Fiddler 根证书添加到您的受信任证书中。 IE 和 Chrome 共享在 Windows 中维护的同一个证书存储，而 Firefox 在内部维护自己的存储。

要信任 Fiddler 的根证书，

1. 单击屏幕打印中的“将根证书导出到桌面”按钮（在较新的版本中，该按钮位于同一对话框中标题为“操作”的按钮后面）。
2. 这会将 Fiddler 根证书导出到您的桌面。
3. 打开证书文件并单击“安装证书”按钮。
4. 继续按照其余提示将其添加到您的受信任根证书列表中。

参考：https://www.fiddlerbook.com/fiddler/help/httpsdecryption.asp 和 http://docs.telerik.com/fiddler/Configure-Fiddler/Tasks/TrustFiddlerRootCert