- 隐私风险:开启HTTPS解密后,代理服务器可以读取你的加密流量(如银行密码、聊天记录)
- 仅建议:仅对特定域名(如广告域名)开启,不要全局解密
- 证书安全:生成的CA证书相当于"万能钥匙",勿分享给他人
📱 配置步骤(iOS)
第一步:生成并安装CA证书
- 打开 Shadowrocket → 点击底部 "配置"(Config)
- 选择当前使用的配置 → 点击 "编辑配置"(Edit)
- 找到 "HTTPS 解密"(HTTPS Decryption)→ 点击 "生成新的 CA 证书"
- 点击 "安装证书",系统会自动跳转到 Safari 下载描述文件
- 进入 iOS 设置 → 顶部会出现 "已下载描述文件" → 点击进入并安装
- 输入锁屏密码确认安装
第二步:信任证书(关键步骤)
iOS 13 及以上版本必须执行:
- 进入 设置 → 通用 → 关于本机 → 证书信任设置
- 找到 Shadowrocket 的证书(通常显示为
Shadowrocket CA或你生成的名称) - 开启 "针对根证书启用完全信任"(Enable Full Trust for Root Certificates)
第三步:开启解密并配置域名
-
返回 Shadowrocket → 回到 "HTTPS 解密" 设置页面
-
开启顶部开关 "启用 HTTPS 解密"
-
配置 "主机名"(Hostname):
- 白名单模式(推荐):仅解密特定域名
*.googlevideo.com *.googleadservices.com *.doubleclick.net - 黑名单模式:不解密特定域名(留空表示解密所有,极不推荐)
- 白名单模式(推荐):仅解密特定域名
-
点击右上角 "保存"
🔧 高级配置(可选)
配合模块/脚本使用
HTTPS解密通常与脚本模块配合使用(如去广告、VIP破解等):
- 在 "模块"(Modules)中订阅相关模块(如神机规则、DivineEngine等)
- 模块会自动配置需要解密的域名
- 确保模块开关已开启
手动添加解密域名
在配置文件中的 [MITM] 段落手动添加:
[MITM] hostname = *.example.com, *.api.com enable = true
✅ 验证是否成功
- 开启代理,访问
https://www.google.com - 在 Shadowrocket 的 "工具" → "日志" 中查看
- 如果能看到 HTTPS 请求的明文内容(如请求头、响应体),说明解密成功
🛠️ 常见问题
| 问题 | 解决方案 |
|---|---|
| 证书安装后仍无法解密 | 检查是否在"关于本机"中开启了"完全信任" |
| 部分App无法联网 | 该App可能启用了SSL Pinning,需将其加入解密黑名单或关闭对此域名的解密 |
| 证书过期 | 证书有效期通常1年,过期后需重新生成并安装 |
| iOS 15+ 无法安装 | 确保在 Safari 中下载,且系统时间正确 |
| 银行/支付App报错 | 立即将这些域名加入黑名单,或临时关闭HTTPS解密 |
📝 最佳实践建议
-
最小化原则:仅对需要去广告或修改的域名开启解密,如:
hostname = *.googlevideo.com, *.youtube.com, *.bilibili.com -
定期清理:不使用时关闭 HTTPS 解密开关
-
证书备份:在 Shadowrocket 中可导出证书备份,重装系统后无需重新生成
-
配合规则:与分流规则配合使用,避免影响正常代理速度
注意:部分严格安全的应用(如银行、支付、政务App)检测到中间人证书会拒绝连接或闪退,这是正常安全机制,请将这些域名排除在解密范围外。
