最近想尝试基于Fiddler的录制功能做一些接口的获取和处理工作，碰到的一个问题就是简单连接Fiddler只能抓取HTTP协议，关键的登录请求等HTTPS协议都没有捕捉到，所以想让Fiddler能够同时抓取到HTTPS和HTTP协议，设置只是很小的一步，关键是了解HTTPS协议的原理、Fiddler抓取HTTPS协议的原理，然后才能更好的理解如何进行设置。本文主要由三部分组成，第一部分用比较通俗形象的方式简述了HTTPS的原理，第二部分则是在第一部分的基础上介绍Fiddler抓取HTTPS协议的原理，最后第三部分就是如何对Fiddler及手机进行设置让其捕捉HTTPS协议。

一、浅谈HTTPS

我们都知道HTTP并非是安全传输，在HTTPS基础上使用SSL协议进行加密构成的HTTPS协议是相对安全的。目前越来越多的企业选择使用HTTPS协议与用户进行通信，如百度、谷歌等。HTTPS在传输数据之前需要客户端（浏览器）与服务端（网站）之间进行一次握手，在握手过程中将确立双方加密传输数据的密码信息。网上有诸多资料，有些写得过于晦涩难懂，尤其是需要密码学的一些知识。我做了一下简单的整理，刨除复杂的底层实现，单从理解SSL协议的角度宏观上认识一下HTTPS。一言以弊之，HTTPS是通过一次非对称加密算法（如RSA算法）进行了协商密钥的生成与交换，然后在后续通信过程中就使用协商密钥进行对称加密通信。HTTPS协议传输的原理和过程简图如下所示：

HTTPS协议传输原理

一共有8个步骤，我们针对每一步，具体看看发生了什么事：

1. 第一步，客户端发起明文请求：将自己支持的一套加密规则、以及一个随机数（Random_C）发送给服务器。
2. 第二步，服务器初步响应：服务器根据自己支持的加密规则，从客户端发来的请求中选出一组加密算法与HASH算法，生成随机数，并将自己的身份信息以证书（CA）的形式发回给浏览器。CA证书里面包含了服务器地址，加密公钥，以及证书的颁发机构等信息。这时服务器给客户端的包括选择使用的加密规则、CA证书、一个随机数（Random_S）。
3. 第三步，客户端接到服务器的初步响应后做四件事情：
   （1）证书校验： 验证证书的合法性（颁发证书的机构是否合法，证书中包含的网站地址是否与正在访问的地址一致等）。
   （2）生成密码：浏览器会生成一串随机数的密码（Pre_master），并用CA证书里的公钥加密(enc_pre_master)，用于传给服务器。
   （3）计算协商密钥：
   此时客户端已经获取全部的计算协商密钥需要的信息：两个明文随机数 Random_C 和 Random_S 与自己计算产生的 Pre-master，计算得到协商密钥enc_key。
   enc_key=Fuc(random_C, random_S, Pre-Master)
   （4）生成握手信息：使用约定好的HASH计算握手消息，并使用协商密钥enc_key及约定好的算法对消息进行加密。
4. 第四步，客户端将第三步产生的数据发给服务器：
   这里要发送的数据有三条：
   （1）用公钥加密过的服务器随机数密码enc_pre_master
   （2）客户端发给服务器的通知，"以后我们都要用约定好的算法和协商密钥进行通信的哦"。
   （3）客户端加密生成的握手信息。
5. 第五步，服务器接收客户端发来的数据要做以下四件事情：（1）私钥解密：使用自己的私钥从接收到的enc_pre_master中解密取出密码Pre_master。
   （2）计算协商密钥：此时服务器已经获取全部的计算协商密钥需要的信息：两个明文随机数 Random_C 和 Random_S 与Pre-master，计算得到协商密钥enc_key。
   enc_key=Fuc(random_C, random_S, Pre-Master)
   （3）解密握手消息：使用协商密钥enc_key解密客户端发来的握手消息，并验证HASH是否与客户端发来的一致。
   （4）生成握手消息使用协商密钥enc_key及约定好的算法加密一段握手消息，发送给客户端。
6. 第六步，服务器将第五步产生的数据发给客户端：
   这里要发的数据有两条：
   （1）服务器发给客户端的通知，"听你的，以后我们就用约定好的算法和协商密钥进行通信哦"。
   （2）服务器加密生成的握手信息。
7. 第七步，客户端拿到握手信息解密，握手结束。
   客户端解密并计算握手消息的HASH，如果与服务端发来的HASH一致，此时握手过程结束。
8. 第八步，正常加密通信
   握手成功之后，所有的通信数据将由之前协商密钥enc_key及约定好的算法进行加密解密。

这里客户端与服务器互相发送加密的握手消息并验证，目的是为了保证双方都获得了一致的密码，并且可以正常的加密解密数据，为后续真正数据的传输做一次测试。另外，HTTPS一般使用的加密与HASH算法如下：非对称加密算法：RSA，DSA/DSS对称加密算法：AES，RC4，3DESHASH算法：MD5，SHA1，SHA256其中非对称加密算法用于在握手过程中加密生成的密码，对称加密算法用于对真正传输的数据进行加密，而HASH算法用于验证数据的完整性。由于浏览器生成的密码是整个数据加密的关键，因此在传输的时候使用了非对称加密算法对其加密。非对称加密算法会生成公钥和私钥，公钥只能用于加密数据，因此可以随意传输，而服务器的私钥用于对数据进行解密，所以服务器都会非常小心的保管自己的私钥，防止泄漏。

二、Fiddler抓取HTTPS协议原理

我们都知道，Fiddler是个很好的代理工具，可抓取协议请求用于调试。关于Fiddler抓取HTTP协议的原理和配置比较简单，对Fiddler和客户端稍作配置，便能使得Fiddler轻易地获取HTTP请求。但是由于HTTPS协议的特殊性，要进一步地配置Fiddler，我们首先要了解一下fiddler抓取HTTPS协议的原理才能更好地理解如何对fiddler进行配置。Fiddler本身就是一个协议代理工具，在上一节HTTPS原理图上，客户端与服务器端进行通信的过程全部都由Fiddler获取到，也就是如下图所示：

Fiddler抓取HTTPS协议原理图

我们看到Fiddler抓取HTTPS协议主要由以下几步进行：

1. 第一步，Fiddler截获客户端发送给服务器的HTTPS请求，Fiddler伪装成客户端向服务器发送请求进行握手 。
2. 第二步，服务器发回相应，Fiddler获取到服务器的CA证书， 用根证书公钥进行解密， 验证服务器数据签名， 获取到服务器CA证书公钥。然后Fiddler伪造自己的CA证书， 冒充服务器证书传递给客户端浏览器。
3. 第三步，与普通过程中客户端的操作相同，客户端根据返回的数据进行证书校验、生成密码Pre_master、用Fiddler伪造的证书公钥加密，并生成HTTPS通信用的对称密钥enc_key。
4. 第四步，客户端将重要信息传递给服务器， 又被Fiddler截获。Fiddler将截获的密文用自己伪造证书的私钥解开， 获得并计算得到HTTPS通信用的对称密钥enc_key。Fiddler将对称密钥用服务器证书公钥加密传递给服务器。
5. 第五步，与普通过程中服务器端的操作相同，服务器用私钥解开后建立信任，然后再发送加密的握手消息给客户端。
6. 第六步，Fiddler截获服务器发送的密文， 用对称密钥解开， 再用自己伪造证书的私钥加密传给客户端。
7. 第七步，客户端拿到加密信息后，用公钥解开，验证HASH。握手过程正式完成，客户端与服务器端就这样建立了"信任"。

在之后的正常加密通信过程中，Fiddler如何在服务器与客户端之间充当第三者呢？

服务器—>客户端：Fiddler接收到服务器发送的密文， 用对称密钥解开， 获得服务器发送的明文。再次加密， 发送给客户端。

客户端—>服务端：客户端用对称密钥加密，被Fiddler截获后，解密获得明文。再次加密，发送给服务器端。由于Fiddler一直拥有通信用对称密钥enc_key， 所以在整个HTTPS通信过程中信息对其透明。

从上面可以看到，Fiddler抓取HTTPS协议成功的关键是根证书（具体是什么，可Google）,这是一个信任链的起点，这也是Fiddler伪造的CA证书能够获得客户端和服务器端信任的关键。

接下来我们就来看如果设置让Fiddler抓取HTTPS协议。

三、Fiddler抓取HTTPS设置

注意以下操作的前提是，手机已经能够连上Fiddler，这部分的配置过程简单就不赘述了，可参考：手机如何连接Fiddler。

如何继续配置让Fiddler抓取到HTTPS协议呢？

（一）首先对Fiddler进行设置：打开工具栏->Tools->Fiddler Options->HTTPS

对Fiddler进行设置

选中Capture HTTPS CONNECTs，因为我们要用Fiddler获取手机客户端发出的HTTPS请求，所以中间的下拉菜单中选中from remote clients only。选中下方Ignore server certificate errors.

（二）然后，就是手机安装Fiddler证书。

这一步，也就是我们上面分析的抓取HTTPS请求的关键。

操作步骤很简单，打开手机浏览器，在浏览器地址输入代理服务器IP和端口，会看到一个Fiddler提供的页面。

接着点击最下方的FiddlerRoot certificate，这时候点击确定安装就可以下载Fiddler的证书了。

下载安装完成好后，我们用手机客户端或者浏览器发出HTTPS请求，Fiddler就可以截获到了，就跟截获普通的HTTP请求一样。

好啦，以上就是关于HTTPS的简介以及Fiddler如何获取HTTPS协议的原理和配置，看到Fiddler整齐划一地截获到HTTP和复杂的HTTPS协议，心里还有点小激动呢。

作者：隋胖胖LoveFat

链接：http://www.jianshu.com/p/54dd21c50f21

來源：简书

著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

【转载】浅谈HTTPS以及Fiddler抓取HTTPS协议的更多相关文章

1. 浅谈HTTPS以及Fiddler抓取HTTPS协议

   最近想尝试基于Fiddler的录制功能做一些接口的获取和处理工作,碰到的一个问题就是简单连接Fiddler只能抓取HTTP协议,关键的登录请求等HTTPS协议都没有捕捉到,所以想让Fiddler能够同 ...

2. 浅谈HTTPS以及Fiddler抓取HTTPS协议（摘抄）

   一.浅谈HTTPS 我们都知道HTTP并非是安全传输,在HTTPS基础上使用SSL协议进行加密构成的HTTPS协议是相对安全的.目前越来越多的企业选择使用HTTPS协议与用户进行通信,如百度.谷歌等. ...

3. fidder https以及Fiddler抓取HTTPS协议

   一.浅谈HTTPS 我们都知道HTTP并非是安全传输,在HTTPS基础上使用SSL协议进行加密构成的HTTPS协议是相对安全的.目前越来越多的企业选择使用HTTPS协议与用户进行通信,如百度.谷歌等. ...

4. Fiddler抓取https设置及其原理

   iddler抓取https设置及其原理 2018-02-02 目录 1 HTTPS握手过程2 Fiddler抓取HTTPS过程3 Fiddler抓取HTTPS设置参考 数字签名是什么? 1 HTTPS ...

5. HTTPS-使用Fiddler抓取HTTPS数据包原理

   最近想尝试基于Fiddler的录制功能做一些接口的获取和处理工作,碰到的一个问题就是简单连接Fiddler只能抓取HTTP协议,关键的登录请求等HTTPS协议都没有捕捉到,所以想让Fiddler能够同 ...

6. fiddler软件测试——Fiddler抓取https设置详解（图文）（摘抄）

   随笔- 8  文章- 0  评论- 0 fiddler软件测试——Fiddler抓取https设置详解(图文)   强烈推荐(原创亲测)!!!Fiddler抓取https设置详解(图文)转 本文主要说 ...

7. Fiddler抓取https请求 & Fiddler抓包工具常用功能详解

   Fiddler抓取https请求 & Fiddler抓包工具常用功能详解   先来看一个小故事: 小T在测试APP时,打开某个页面展示异常,于是就跑到客户端开发小A那里说:“你这个页面做的有问 ...

8. fiddler抓取https请求（android/ios）

   本文转载自:http://blog.csdn.net/songer_xing/article/details/53841401 备注:本人有这样的一个需求,先记录下,以后再进行整理. 在抓包过程中发现 ...

9. fiddler软件测试——Fiddler抓取https设置详解（图文）

   强烈推荐(原创亲测)!!!Fiddler抓取https设置详解(图文)转 本文主要说明了自己在设置fiddler抓取https过程中所遇到的问题及解决步骤,特别是fiddler在设置证书的环节遇到的各 ...

随机推荐

1. 说说面向服务的体系架构SOA

   序言 在.Net的世界中,一提及SOA,大家想到的应该是Web Service,WCF,还有人或许也会在.NET MVC中的Web API上做上标记,然后泛泛其谈! 的确,微软的这些技术也确实推动着面 ...

2. 破解激活Win10无风险？激活后删除激活工具无影响===http://www.pconline.com.cn/win10/693/6932077_all.html#content_page_4

   1Windows激活:测试环境搭建 随着Windows 10的发布,许多用户都用上了这个新一代的操作系统.Windows 10有个最好的设置就是,只要你在已经激活的旧系统中升进行升级操作,就能获得一个 ...

3. 第四十三章 微服务CICD（5）- gitlab + jenkins + docker + dockerregsitry

   一.总体流程 部署: 开发机(mac) ip:11.11.11.11 docker:1.12.1 部署机(centos7) ip:10.211.55.4 docker:1.12.3 生产机(cento ...

4. MVC - 11（上）.DTO

   1.重要:javaScriptSerializer 无法识别被序列化的对象里各种属性是否存在  循环依赖 (System,Web.Script.Serialization.JavaScriptSeri ...

5. ios获取一个文件夹下的文件（夹）列表

   NSArray* ary=[[NSFileManager defaultManager] contentsOfDirectoryAtPath:[[NSBundle mainBundle] pathFo ...

6. PHP Mail 简介

   PHP mail() 函数用于从脚本中发送电子邮件. mail(to,subject,message,headers,parameters): 参数 描述 to 必需.规定 email 接收者. su ...

7. 【Android】Android部分问题记录

   1.EditText不显示光标 开发的时候遇到有部分手机,小米系列以及华为部分手机不显示光标. 设置EditText属性 android:textCursorDrawable="@null& ...

8. 用标准Struts2+mvc写的用户管理

   这星期的实验,最终调好了. 一句话,麻雀虽小,五脏俱全.相信刚学struts2的同学能够通过该实验能够更好地理解struts的结构和mvc 登录的之前写过,这里直接进入用户管理 用struts2都要在 ...

9. Java语言程序设计-Markdown格式作业模板

   Markdown格式作业模板如下,大家可以直接复制粘贴使用. 注意:作业中不能只写答案,题目本身也要出现.. # 1. 本章学习总结 你对于本章知识的学习总结 # 2. 书面作业 **Q1 java ...

10. js·逻辑运算

    || 遇到第一个为真就返回 && 遇到第一个为假就终止,返回false,如果没遇到就返回最后那一个 5&&4&&2&&1  ==> ...