Um den HTTPS-Verkehr zu entschlüsseln, müssen Sie zuerst das Fiddler-Stammzertifikat in Ihrer "Trusted/root certificates" -Liste installieren. Fiddlers Stammzertifikat ist NICHT ein Stammzertifikat, das standardmäßig mit Ihrem Betriebssystem geliefert wird. Das Betriebssystem wird Sie normalerweise warnen, wenn Sie versuchen, dies zu installieren.
Dabei beginnen Sie explizit, jedem Zertifikat zu vertrauen, das vom Fiddler-Stammzertifikat signiert wurde. Wenn du jetzt eine https-Anfrage stellst, wird Fiddler einen Mann im mittleren Angriff mit dir ausführen.
Angenommen, Sie geben eine Anfrage in der Form https://google.com. Fiddler fungiert nun als tatsächlicher Google-Server und erstellt ein Dummy-Zertifikat für Google.com und signiert es mit dem Fiddler-Stammzertifikat. Sie erhalten dieses Dummy Zertifikat, das von Fiddler unterzeichnet wurde. Dieses Zertifikat wird die Überprüfung Ihres Geräts bestehen, da sich das Fiddler-Stammzertifikat jetzt in Ihren vertrauenswürdigen Zertifikaten befindet. Jetzt kommuniziert Ihr Gerät über eine sichere HTTPS-Verbindung mit Fiddler. Fiddler leitet Ihre Nachrichten an Google.com und zurück an Sie weiter. Natürlich wird Fiddler sie entschlüsseln können.
Es ist zu beachten, dass der Verkehr von Fiddler zu Google über einen zweiten sicheren https-Kanal erfolgt.
Daher nicht über die Sicherheit von https sorgen.
HTTPS schützt vor Lauschern zwischen dem Client und dem Server. –
@ColonPanic Ich verstehe das. Ich habe jedoch gerade entdeckt, dass Fiddler HTTPS leicht entschlüsseln kann.Ich würde gerne wissen, was ist der Sinn der Verwendung von HTTPS, wenn Fiddler es einfach entschlüsseln kann? –
Oder liegt es daran, dass die mit Fiddler entschlüsselte Website von localhost bereitgestellt wird? –