HTTPS解密原理与跨境办公场景
HTTPS解密(MITM)是Shadowrocket的高级功能,通过本地生成CA证书实现流量分析,常用于国际网络加速中的广告过滤、请求调试及学术访问场景,该功能仅在本地设备生效,不涉及远程服务器证书替换,符合iOS安全规范。
证书配置前置准备
在启用解密前,必须完成根证书生成与系统信任:
# 生成CA证书(在Shadowrocket内完成) 设置 → 证书 → 生成新的CA证书 → 安装描述文件
安装后需进入 设置 → 通用 → 关于本机 → 证书信任设置 开启完全信任,未完成此步骤将导致所有HTTPS站点无法访问。
Shadowrocket解密HTTPS四步配置
-
生成证书密钥对 进入
配置→证书→ 点击右上角生成2048位RSA密钥,系统会自动创建shadowrocket.crt根证书。 -
安装描述文件 点击
安装证书→ 允许下载配置描述文件 → 进入iOS设置顶部提示完成安装,注意:切勿在iCloud设置中登录测试账号,仅在App Store登录美区Apple ID。 -
启用MITM功能 在
配置文件中添加解密规则:[MITM] enable = true hostname = *.google.com, *.youtube.com, *.tiktokv.com [Rule] DOMAIN-SUFFIX,google.com,PROXY DOMAIN-SUFFIX,tiktok.com,PROXY
-
配置解密域名列表 仅对需要调试的域名开启解密,避免银行类App触发SSL Pinning防护:
[MITM] hostname = -api.github.com, -*.apple.com, *.openai.com
全局路由模式深度解析
在设置 → 全局路由中,四个选项决定了HTTPS流量的处理逻辑:
配置(Config) 基于规则分流,仅对匹配规则的域名走代理,适合跨境办公需求,国内流量直连,学术资源访问走节点,推荐普通用户长期使用此模式。
代理(Proxy) 强制所有流量经过代理服务器,包括本地网络请求,适用于公共Wi-Fi安全加密场景,但会增加电池消耗。
直连(Direct) 完全不走代理,用于验证本地网络环境或临时关闭国际网络加速,此时MITM解密功能仍对直连流量生效。
场景(Scene)
基于地理位置或网络类型自动切换,如蜂窝数据→直连,Wi-Fi→配置,适合多网络环境切换的商务用户。
推荐方案:日常选择配置模式,配合绕过中国大陆IP的GeoIP数据库,实现智能分流。
高级应用场景配置
针对特定国际服务的解密优化:
ChatGPT/Claude解锁
[MITM] hostname = *.openai.com, *.anthropic.com, *.claude.ai [Rule] DOMAIN-KEYWORD,openai,PROXY DOMAIN-SUFFIX,auth0.com,PROXY
TikTok无水印解析 需配合解密提取视频真实URL,注意仅用于个人学术分析,遵守平台TOS。
如果你还没有稳定节点支持HTTPS解密的高带宽需求,建议配置IEPL专线节点以确保TLS握手不超时。
常见问题排查(FAQ)
证书安装后仍显示"不受信任"
现象:Safari提示"此连接非私人连接"。
原因:iOS 15+系统需在证书信任设置中单独开启开关,仅安装描述文件不足够。
解决:设置 → 通用 → 关于本机 → 证书信任设置 → 开启Shadowrocket CA。
特定银行App无法启动
现象:启动闪退或提示"网络不安全"。
原因:金融App启用SSL Pinning证书锁定,检测到中间人攻击防护。
解决:在hostname中添加排除规则:-*.icbc.com.cn, -*.boc.cn。
解密导致Netflix 1080P受限
现象:视频清晰度被限制在720P。
原因:Widevine DRM检测到证书异常,降级为L3安全级别。
解决:在[MITM]段添加skip-server-cert-verify = false,或对该域名关闭解密。
配置导入后节点全红
现象:所有节点显示超时,但浏览器正常。
原因:配置文件覆盖原有节点设置,或证书时间不同步。
解决:检查[Proxy]段是否保留原有订阅链接,系统时间需开启自动设置。
教程虽好,但也需要高质量节点配合HTTPS解密的带宽消耗,点击此处获取2026稳定高速节点订阅,支持Trojan/VLESS协议及完整IPv6解锁。
