Fiddler抓包HTTPS失败解决方法

当Fiddler抓取HTTPS流量时仅显示“Tunnel to”而无法解密明文，问题根源通常在于根证书未被系统或应用正确信任，或证书生成引擎与当前环境不兼容；本文系统梳理了五大关键解决路径——从重置并重新安装Fiddler根证书、手动导入FiddlerCertMaker生成的证书、切换至兼容性更强的MakeCert引擎，到适配Firefox独立证书体系，再到确保移动端代理配置、证书安装与系统级信任三步到位，帮你彻底打通HTTPS抓包全链路，让加密流量无所遁形。

如果您尝试使用Fiddler抓取HTTPS流量，但所有HTTPS请求均显示为“Tunnel to”且无法解密查看明文内容，则极大概率是Fiddler根证书未被系统正确信任或证书生成引擎配置异常。以下是针对性解决此问题的步骤：

一、重置并重新安装Fiddler根证书

该方法用于清除可能损坏或冲突的旧证书状态，重建干净的证书信任链。Fiddler在首次启用HTTPS解密时需将自签名根证书注入系统“受信任的根证书颁发机构”存储区，若此前安装失败或部分写入，会导致后续解密功能完全失效。

1、启动Fiddler，进入Tools → Options → HTTPS选项卡。

2、取消勾选Capture HTTPS CONNECTs与Decrypt HTTPS traffic，点击OK保存并关闭设置窗口。

3、再次打开Options → HTTPS，点击Actions → Reset All Certificates，确认执行重置操作。

4、重新勾选Capture HTTPS CONNECTs和Decrypt HTTPS traffic，此时Fiddler应弹出证书安装提示窗口。

5、点击提示中的Yes按钮，完成证书自动安装流程。

6、重启Fiddler，验证是否可正常解密HTTPS会话。

二、手动安装FiddlerCertMaker生成的证书

当内置证书安装机制失效（例如提示“unable to configure Windows to trust the Fiddler root certificate”）时，需绕过Fiddler自带安装逻辑，改用独立证书制作工具生成并手动导入证书，确保证书格式与系统兼容性。

1、访问官方地址下载FiddlerCertMaker.exe：http://www.enhanceie.com/dl/FiddlerCertMaker.exe

2、双击运行下载的FiddlerCertMaker.exe文件，按向导完成安装。

3、返回Fiddler，进入Tools → Options → HTTPS → Actions，点击Open Windows Certificate Manager。

4、在证书管理器中，切换至受信任的根证书颁发机构 → 证书节点，确认列表中存在名称为DO_NOT_TRUST_FiddlerRoot的证书。

5、若未出现，需手动导入：在Fiddler中点击Export Root Certificate to Desktop导出证书文件，再于证书管理器中右键→所有任务→导入，选择该.cer文件并指定存储位置为“受信任的根证书颁发机构”。

三、切换证书生成引擎为MakeCert

Fiddler默认使用CertEnroll引擎生成HTTPS拦截证书，但在Windows 10/11较新版本及部分企业策略锁定环境下，CertEnroll可能被系统策略禁用或拒绝签发，导致证书虽已安装却无法用于实际解密。切换至兼容性更强的MakeCert引擎可绕过该限制。

1、在Fiddler中进入Tools → Options → HTTPS选项卡。

2、点击Actions → Certificates generated by CertEnroll engine。

3、在弹出的对话框中，将下拉菜单从CertEnroll更改为MakeCert。

4、点击OK保存更改。

5、关闭并重新启动Fiddler，使引擎切换生效。

四、验证Firefox等独立证书管理浏览器的适配

Firefox不读取Windows系统证书存储，而是维护自身独立的证书数据库，因此即使系统级证书已安装并信任，Firefox仍无法解密HTTPS流量，必须单独导入Fiddler根证书并启用信任。

1、在Fiddler中点击Tools → Options → HTTPS → Actions → Export Root Certificate to Desktop，导出证书文件（.cer格式）。

2、打开Firefox浏览器，进入设置 → 隐私与安全 → 证书 → 查看证书。

3、在“证书管理器”窗口中，点击导入按钮，选择刚导出的.cer文件。

4、勾选信任此证书以标识网站，点击确定完成导入。

5、确保Firefox网络代理设置为系统代理或手动配置为127.0.0.1:8888，否则流量不会经过Fiddler。

五、检查并修复移动端HTTPS抓包依赖项

对于Android或iOS设备通过Fiddler代理抓包的场景，仅在PC端完成证书配置远远不够。移动设备必须同时满足三项条件：正确配置HTTP代理指向Fiddler所在主机、成功安装Fiddler根证书、并在系统级开启对该用户证书的信任权限。任一缺失都将导致HTTPS请求显示为隧道连接或直接失败。

1、在手机Wi-Fi设置中，为当前连接的网络配置手动HTTP代理，服务器填写运行Fiddler的电脑IP地址（非127.0.0.1），端口为8888。

2、在手机浏览器（推荐使用Safari或Chrome）中访问http://[电脑IP]:8888，页面应显示Fiddler欢迎信息；若无法访问，请检查防火墙、网络连通性及Fiddler监听设置。

3、在浏览器中访问http://[电脑IP]:8888/fiddlerroot.cer，下载并安装该证书文件。

4、Android设备需进入设置 → 安全 → 加密与凭据 → 信任的凭据 → 用户，确认Fiddler证书已列出；iOS设备需进入设置 → 通用 → 关于本机 → 证书信任设置，启用对应证书的信任开关。

到这里，我们也就讲完了《Fiddler抓包HTTPS失败解决方法》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于的知识点！