导读:
本文详解Shadowrocket HTTPS解密功能的配置流程,从证书安装到路由规则设置,帮助开发者和网络工程师实现安全流量分析,提升跨境办公环境下的调试效率。
前置条件与证书准备
开启HTTPS解密前,需完成根证书安装,Shadowrocket使用MitM(中间人)技术实现流量解密,这要求设备信任自签证书。
证书安装路径:
设置 → 证书 → 安装证书 → 允许下载描述文件 → 设置 → 通用 → VPN与设备管理 → 安装Shadowrocket证书安装完成后,进入设置 → 通用 → 关于本机 → 证书信任设置,开启对Shadowrocket根证书的完全信任,未开启信任会导致解密失效,应用显示证书错误。
分步配置流程
开启解密总开关
进入设置 → HTTPS解密,启用开关,首次开启会提示配置MitM域名列表,建议先选择生成证书确保密钥对有效。
配置解密域名
在Hostname字段输入需要解密的域名,支持通配符:
*.api.example.com
*.googleapis.com
*analytics*设置排除列表
部分金融类App启用SSL Pinning,强制解密会导致应用闪退,在Exclude Hostname中添加:
*apple.com
*icloud.com
*alipay.com路由模式选择
返回主界面,点击全局路由,根据使用场景选择四种模式之一。
全局路由模式深度解析
小火箭HTTPS解密教程的核心在于理解流量走向逻辑:
配置模式(Config) 依据规则文件自动分流,仅对命中规则的流量解密,适合日常国际网络加速,兼顾速度与隐私。
代理模式(Proxy) 全部流量强制经过代理节点并解密,适合需要完整抓包分析的调试场景,但会增加电池消耗。
直连模式(Direct) 跳过代理直接连接,解密功能仅对直连流量生效,适用于测试本地服务或排除节点干扰。
场景模式(Scene) 基于地理位置或网络环境自动切换,可设置"公司WiFi下启用解密,蜂窝数据下关闭",实现智能化跨境办公环境适配。
典型应用场景
API调试与开发测试
配合Charles或Wireshark,可查看HTTPS请求明文,在工具 → 抓包中导出PCAP文件,分析学术资源访问过程中的请求头信息。
广告过滤与重写 解密后配合JavaScript脚本实现高级去广告,注意:部分节点服务商对解密流量有限制,建议选择支持全流量中转的专业服务。
对于需要稳定4K流媒体或低延迟游戏的用户,建议在配置模式基础上,选择具备BGP专线的节点服务商,避免解密过程中的性能损耗。
常见问题排查
现象:开启解密后特定App无法联网 原因:该应用启用SSL Pinning证书锁定,检测到中间人攻击后主动断连。 解决方法:将App相关域名加入Exclude列表,或暂时切换为直连模式。
现象:证书已安装但显示"Untrusted"
原因:iOS系统级信任未开启,或证书已过期。
解决方法:检查关于本机 → 证书信任设置,删除旧证书后重新生成安装。
现象:解密开启后网速明显下降 原因:MitM加密解密过程增加CPU负载,或节点带宽不足。 解决方法:关闭对视频流媒体域名的解密,或升级至支持TLS 1.3的IEPL专线节点。
完成上述配置后,Shadowrocket即可作为专业级网络调试工具使用,对于需要长期稳定国际网络加速的用户,建议定期检查证书有效期,并选择提供自动更新订阅链接的服务商,确保解密规则与节点配置同步维护。
