安卓微信连接fiddler等抓包工具无法抓取https

问题描述：

在手机连接pc的fiddler后，安卓微信打不开https页面，安卓的浏览器、qq等都可以正常访问https，ios也都可以，就只有安卓微信放问https是空白页面

解决思路：

一. 证书没有正确安装

连接抓包工具无法访问https的，首先判断是证书问题。在浏览器访问  10.0.0.99:8888  ，点击最下面的证书进行安装

安装好证书后，发现仍然访问不了。

重新整理思路，安卓浏览器和qq等都可以正常访问https说明证书配置是正确的。唯独在微信访问异常，在百度后查到有其他人遇到类似的问题，说是证书链不完整，导致浏览器无法信任你安装的证书。

证书链其实就是描述证书的签名环节，就比如是 A 颁发证书给 B ，B颁发证书给C，然后我们手里的就是  证书C。当证书链不完整的情况下，也就是没有描述我们手中的证书C是由谁办法的，所以导致的浏览器不认为你这个证书是可信的授权证书。

二. 如何验证证书链是否完整？

1.  如果是外网，可以访问 https://www.geocerts.com/ssl-checker ，输入域名进行验证SSL证书链是否完整

2. 如果是内网，则可以使用命令验证：

openssl s_client -connect    x.x.x.x:443

// s_client为一个SSL/TLS客户端程序，与s_server对应，它不仅能与s_server进行通信，也能与任何使用ssl协议的其他服务程序进行通信。
// -connect host:port：设置服务器地址和端口号。如果没有设置，则默认为本地主机以及端口号4433。

 连接内网的IP后：

其中0、1是证书链中每一级证书的序号。0是要被验证的网站所用的证书。其CN对应网站域名。

每一个序号后面，s 开头的一行是指证书，i 开头的一行是指此证书由谁签发。

0 的CN包含一个英文域名 static.xxx.com 。它的签发者是 TrustAsia Technologies, Inc./OU=Symantec Trust Network/OU=Domain Validated SSL/CN=TrustAsia DV SSL CA 

1 的证书就是0的签发者。而1自己又是由另一个证书  VeriSign Class 3 Public Primary Certification Authority  签发的。

所以这么一级级看下来，浏览器认为，1的签发者我认识，安装包里有提到，VeriSIign嘛。签名正确、验证无误，所以信任1。那么也应该信任1签发的0。所以这个网站可以信任。

然而，如果网站配置时，在crt文件中只包含了自己，而没包含一个完整到可以被浏览器内置数据验证的证书链，就有可能被浏览器拒绝。比如

openssl s_client -connecttouko.moe:443 

---

Certificate chain

 0 s:/CN=touko.moe

   i:/C=CN/O=WoSign CALimited/CN=WoSign CA Free SSL CertificateG2

---

只有0一组。说明s行中的touko.moe由 i 行中的WoSign CA Free SSL CertificateG2签发。没了。

这就是此坑最神奇之处：浏览器此时是否验证失败，是不一定的。有2种情况：

A、浏览器自安装以来，从未见过这个i。那么验证会失败。

B、浏览器以前见过、并且验证过i，那么验证会成功。

通常管理员自己会去证书发行商的https网站买证书，浏览器就会验证，然后将验证成功的中间证书全都缓存下来，为以后节省时间。当管理员（错误地）配置完自己的网站，去浏览测试的时候，完全不会遇到问题。因为他的浏览器已经认识这个中间证书了。

总结：

通过证书链验证发现，我们内网的证书链是完整无误的。

三. 微信自己的问题

再次整理思路，用安卓微信访问其他的https网站比如百度、csdn等都是空白页，如果是我们的证书链问题，那其他网站的证书链是应该没问题的，为什么也访问不了？所以证书链问题完全排除掉。

那既然不是本地证书问题，也不是我们服务端证书链问题，qq、浏览器又都能正常访问，ios也正常，说明fiddler端是没问题的，这个时候怀疑是不是微信自己的问题？

OK，那首先考虑为什么fiddler可以抓取https的包呢？

fiddler巧妙就巧妙在伪造CA证书的地方了，我（fiddler）自己编造一个私钥和公钥，作为签名凭证发送给浏览器，提交到服务端，服务端根据公钥签名返回，我（fiddler）伪造的密钥，自然就能解开了。

所以，你知道，我知道，大家都知道，为了防止软件被fiddler抓包，开发者会内置SSL证书，直接通过自己的证书签名加密，而不去采用系统的CA证书，这样就不会被伪造的证书来骗取信息，自然而然，fiddler就没办法抓到这些自带证书的软件数据了。

而微信极有可能自带https证书验证，没有使用所以fiddler没办法抓到微信内https网页的信息。

而之前的微信是可以正常抓取https的，今天却突然不行，想到前两天微信刚刚升级到了7.0，会不会是新版新增的限制呢？

于是找来安卓6.7.3的微信进行验证，发现时正常的，只有最新版7.0不行。

经过上面一系列的验证，大概可以猜测，是因为安卓的微信7.0版本值信任自己内置的ssl证书，不信任用户自己安装的证书，导致抓包工具抓取https页面时，访问空白！

解决方案：

在官方没出来新的调试工具和方法之前，使用http或者低版本微信进行调试

-----------------------------------------

参考文章：

https://www.dadiaoge.com/fiddler-wechat-https.html

https://blog.csdn.net/u014145985/article/details/80997023

https://blog.csdn.net/qq_24033949/article/details/52891146