导读:
前置条件检查
开启 HTTPS 解密(MITM)功能前,确认你的 Shadowrocket 版本为 2.2.0+,并具备有效的国际网络加速节点,该功能主要用于网络调试、广告过滤规则生效及跨境办公数据抓包场景。
如果你还没有稳定节点,点击下方链接获取高速专线支持,确保解密过程中网络不中断。
证书生成与安装
生成 CA 证书
进入 Shadowrocket 设置页,找到 HTTPS 解密 选项,点击 生成新的 CA 证书。
设置路径:配置 → 本地文件 → 编辑配置 → HTTPS 解密 → 生成证书
证书格式:X.509 v3
密钥长度:2048-bit RSA
有效期:10年系统证书信任流程
- 安装描述文件:点击"安装证书",系统跳转 Safari 下载
.mobileconfig文件 - 系统设置信任:iOS 设置 → 通用 → VPN与设备管理 → 安装 Shadowrocket 描述文件
- 启用完全信任:设置 → 通用 → 关于本机 → 证书信任设置 → 开启 Shadowrocket CA 完全信任
重要提示:iOS 10.3+ 必须手动开启"完全信任"开关,否则解密不生效HTTPS 解密配置流程
完成证书安装后,按以下步骤启用功能:
- 开启解密开关:配置页 → HTTPS 解密 → 开启按钮
- 设置 Hostname:在 解密列表 中添加需要抓包的域名,支持通配符
*.example.com - 排除敏感域:在 不解密列表 中添加银行类、支付类域名(如
*.alipay.com,*.apple.com) - 应用配置:点击右上角完成,返回首页重新连接节点
Hostname 配置示例:
- 抓取全部:* (性能开销大,不推荐)
- 精准匹配:api.example.com, *.googlevideo.com
- 排除隐私:*.icloud.com, *.bank.com全局路由模式详解
配置 HTTPS 解密时,需正确理解四种路由模式,避免解密流量误走直连导致失败:
| 模式 | 工作原理 | 适用场景 | 解密建议 |
|---|---|---|---|
| 配置 | 根据规则文件分流 | 日常使用 | 推荐,仅解密代理流量 |
| 代理 | 全部流量走节点 | 全局翻墙 | 可解密,但性能开销大 |
| 直连 | 全部流量直连 | 回国模式 | 解密无效,无节点流量 |
| 场景 | 根据网络环境自动切换 | 高级用户 | 需配合自动化脚本 |
推荐方案:普通用户选择 配置 模式,配合"自动分流"规则,仅对需要解密的跨境办公域名启用 MITM,兼顾速度与隐私。
常见问题排查
现象:开启解密后所有 HTTPS 网站提示"不受信任"
原因:iOS 系统未开启 CA 证书完全信任,或证书已过期。
解决方法:
- 检查 设置 → 通用 → 关于本机 → 证书信任设置 → 确认 Shadowrocket CA 开关为绿色
- 若证书过期,在 Shadowrocket 中重新生成并安装
现象:特定 App 无法联网或提示证书错误
原因:该 App 启用 SSL Pinning(证书固定),检测到中间人攻击。
解决方法:
- 将该 App 的 API 域名加入 不解密列表
- 或关闭该 App 的 HTTPS 解密功能,使用规则分流绕过
现象:解密开启后网速明显下降
原因:解密列表包含过多域名(如 通配符),CPU 加密解密负载过高。
解决方法:
- 精简 Hostname 列表,仅保留必要域名
- 关闭"记录解密日志"功能减少 IO 开销
- 升级至 IEPL 专线节点提升带宽
如果你还没有稳定节点,点击下方链接获取高速专线支持,专线带宽可大幅降低 MITM 性能损耗。
安全与隐私建议
HTTPS 解密功能会临时解密你的加密流量,存在隐私风险:
- 定期更换证书:建议每 6 个月重新生成 CA 证书
- 严格限制域名:避免对银行、医疗、政府类网站启用解密
- 及时清理日志:配置 → 日志 → 定期清空解密记录
完成上述配置后,你的 Shadowrocket 已具备完整的 HTTPS 流量分析能力,可用于调试跨境办公 API 接口或优化广告过滤规则,教程虽好,但也需要高质量节点配合,点击此处获取 2026 稳定高速节点订阅,确保解密过程安全流畅。
