Charles 抓包HTTPS原理

Charles01.png

1. 客户端向服务器发起HTTPS请求

2. Charles拦截客户端的请求，伪装成客户端向服务器进行请求

3. 服务器向“客户端”（实际上是Charles）返回服务器的CA证书

4. Charles拦截服务器的响应，获取服务器证书公钥，然后自己制作一张证书，将服务器证书替换后发送给客户端。（这一步，Charles拿到了服务器证书的公钥）

5. 客户端接收到“服务器”（实际上是Charles）的证书后，生成一个对称密钥，用Charles的公钥加密，发送给“服务器”（Charles）

6. Charles拦截客户端的响应，用自己的私钥解密对称密钥，然后用服务器证书公钥加密，发送给服务器。（这一步，Charles拿到了对称密钥）

7. 服务器用自己的私钥解密对称密钥，向“客户端”（Charles）发送响应

8. Charles拦截服务器的响应，替换成自己的证书后发送给客户端

9. 至此，连接建立，Charles拿到了 服务器证书的公钥 和 客户端与服务器协商的对称密钥，之后就可以解密或者修改加密的报文了。

HTTPS抓包的原理还是挺简单的，简单来说，就是Charles作为“中间人代理”，拿到了 服务器证书公钥 和 HTTPS连接的对称密钥，前提是客户端选择信任并安装Charles的CA证书，否则客户端就会“报警”并中止连接。这样看来，HTTPS还是很安全的。

---

抓包配置

PC ：Windows 10
Mobile：华为荣耀V8 Android7.0
Charles： Charles 4.2.5

1. 在电脑上安装Charles根证书

第一步 选择安装根Charles根证书。

Charles02.png

第二步 弹出证书安装向导

Charles03.png

第三步 根据向导安装证书

注意要将证书安装到【受信任的根证书颁发机构】存储区。

Charles04.png

第四步 完成安装

安装成功后可以在操作系统已经安装证书列表看到Charles根证书：

Charles04.png

Tips 可以通过谷歌浏览器按 设置→高级→隐私设置和安全性→管理证书 的步骤查看系统已安装证书列表。

2.移动端安装Charles根证书

第一步 选择在移动手机上安装Charles根证书

Charles05.png

选择 Install Charles Root Certificate on a Mobile Device or Remote Browser。
然后根据提示使用手机连接指定代理主机及端口号：

Charles06.png

第二步 下载根证书并安装

连接成功后打开手机浏览器访问地址 chls.pro/ssl，下载根证书然后根据指引完成安装。
安装成功后可以在系统的安全设置页查看Android手机已安装的根证书列表：

Charles07.png

Tips ：
Android手机查看证书列表的路径一般为： 设置→高级设置→安全和隐私→安全→证书存储→受信任的凭据
不同手机查看路径可能略有差异，不过一般都是位于安全选项下。

3.指定需要解析的Https请求

Charles只会解析指定主机名称的Https请求。

第一步 打开SSL代理设置

Charles08.png

第二步 添加需要解析的Https请求主机名

Charles09.png

端口号指定 443端口。也可以不用指定。本例中我们指定的主机名是：*.baidu.com , 它表示指定解析所有以.baidu.com为后缀的主机名。

至此，所有的准备工作都已完成。总结一下就两步操作：第一步安装根证书，第二部指定需要过滤的主机名。接下来就可以看到需要解析的Https请求明文了：

Charles10.png

原理分析

Charles利用一种叫做【中间人攻击】的手段来解析Https请求，即向服务端假冒客户端，向客户端假冒服务端。客户端与服务端所有通信实际上是通过Charles这一代理来完成的。

我们知道，Https是具有信息加密及身份认证功能的。Charles是如何突破层层防线从而获得代理人这一角色的呢？实际上，当我们通过Charles代理发起Https请求时，Charles会使用自己的根证书为请求的服务端签发一个代理证书，这个代理证书会取代服务端原证书传递给客户端。客户端在获取代理证书后会根据CA证书认证链判断该证书是否有效？如果有效则信任该请求。那么客户端是如何判断该证书是有效的呢？这就是我们执行【在电脑上安装Charles根证书】或【移动端安装Charles根证书】的理由了。CA证书认证链的终点是根证书，如果能证明该证书的颁发机构的根位于系统根证书列表内，则说明该证书就是有效的。

其实即使我们不在客户端安装Charles根证书，仅仅执行【指定需要解析的Https请求】这一步也是可以抓取Https数据的，但此时客户端会发出警告信息，选择忽视警告继续访问就可以了。但这种情况也有例外，如果服务端Https使用 HSTS 规则的话，当证书不被系统信任时，连接是不会创建成功的。

参考文献

Charles SSL Proxying
使用Charles抓取 Https 数据及原理分析
Charles 抓包HTTPS原理