导读:
Shadowrocket(小火箭)HTTPS解密配置教程
⚠️ 安全警告:HTTPS解密(MITM)会截获加密流量,仅可用于自己设备的调试、抓包分析或去广告,请勿用于窃取他人隐私或非法监听,且解密后的流量存在被第三方窃取的风险。
准备工作
- 设备要求:iOS/iPadOS 设备(需已安装 Shadowrocket)
- 系统版本:iOS 12 及以上
- 证书管理:需要生成并安装 CA 证书
生成 CA 证书(首次配置)
方法 A:使用 Shadowrocket 自动生成(推荐)
- 打开 Shadowrocket → 配置 → 点击当前使用的配置文件(默认
default.conf) - 点击 编辑配置 → HTTPS 解密
- 点击 生成新的 CA 证书
- 点击 安装根证书(系统会弹出安装描述文件界面)
方法 B:导入现有证书(高级用户)
如有 .p12 或 .pem 格式证书,可通过 iCloud/文件 App 导入。
系统信任证书(关键步骤)
iOS 16+ 操作流程:
-
安装描述文件:
- 设置 → 通用 → VPN 与设备管理(或"描述文件")
- 找到 Shadowrocket 的证书 → 点击安装 → 输入锁屏密码
-
信任根证书(必须操作,否则无效):
- 设置 → 通用 → 关于本机 → 证书信任设置
- 找到 Shadowrocket CA → 打开开关 → 确认"根证书"已启用
配置解密规则
开启 HTTPS 解密总开关
- 配置文件编辑界面 → HTTPS 解密 → 开启右上角开关
设置解密域名(Hostname)
建议仅解密必要域名,避免全量解密(影响性能且不安全)
*.facebook.com
*.bilibili.com
api.weibo.com排除特定域名(银行类、支付类建议排除):
# 在"排除主机名"处添加
*.alipay.com
*.apple.com
*.icloud.com模式选择
- 证书模式:标准(推荐)/ 证书固定(Pinning)绕过
- TCP 连接:保持默认
验证是否成功
-
查看证书状态:
- Shadowrocket 首页 → 点击右上角 i 图标 → 查看"HTTPS 解密"状态应为"运行中"
-
抓包测试:
- 开启代理后访问
https://www.baidu.com - 在 Shadowrocket 工具 → 日志 中查看,应能看到明文请求内容(而非乱码)
- 开启代理后访问
-
浏览器验证:
- 访问
https://mitm.it(MITM 代理测试页面) - 应显示 Shadowrocket 的证书信息
- 访问
常见问题解决
| 问题 | 解决方案 |
|---|---|
| App 无法联网/证书错误 | 检查是否已信任根证书(步骤三第2步) |
| 特定 App 闪退 | 该 App 可能启用 SSL Pinning,需添加排除规则或关闭解密 |
| 银行/支付 App 警告 | 立即将这些域名加入排除列表,避免资金风险 |
| 证书过期 | 重新生成证书并安装(证书有效期通常1年) |
安全建议
- 最小化原则:仅解密必要的广告域名或调试目标,不要全局解密
- 及时关闭:调试完成后关闭 HTTPS 解密功能
- 证书保管:生成的 CA 证书私钥不要分享给他人
- iOS 更新:系统大版本更新后可能需要重新信任证书
进阶:配合模块使用(去广告场景)
如需用于去广告(如 YouTube、App 广告过滤),可安装预置模块:
- 配置 → 模块 → 搜索安装 "HTTPS 解密增强" 类模块
- 模块会自动配置常见广告域名的解密规则
注意:部分 App(如微信、支付宝、银行类)检测到中间人证书会拒绝连接,这是安全机制,请勿强行破解。
如有具体某 App 的抓包需求,建议提供 App 名称以便给出精确的域名规则配置。
