Zertifikate installieren und verwalten
Um HTTPS über einen Proxy mitzuschneiden, besteht der erste Schritt darin, dass Geräte und Software dem Stammzertifikat dieses Tools vertrauen, sonst erhalten Sie TLS-Fehler und können nicht entschlüsseln. Die Zertifikatsverwaltung macht das per Klick und lückenlos: dieser Rechner, Handys und selbst jene Programme, die “nach der Installation des Systemzertifikats immer noch nicht vertrauen”, lassen sich allesamt einrichten.
1. Installation auf diesem Rechner mit einem Klick
Abschnitt betitelt „1. Installation auf diesem Rechner mit einem Klick“- Prüfen Sie jederzeit, ob dieser Rechner dem Stammzertifikat dieses Tools bereits vertraut.
- “Auf diesem Rechner installieren und vertrauen” mit einem Klick, einmal erledigt, danach kann jede Sitzung HTTPS entschlüsseln.
- Bei Bedarf laden Sie das Stammzertifikat herunter (in mehreren Formaten), um es manuell zu verteilen.

2. Installation auf dem Handy per QR-Code-Scan
Abschnitt betitelt „2. Installation auf dem Handy per QR-Code-Scan“- Erzeugen Sie einen QR-Code für jede nutzbare Adresse im LAN; scannen Sie ihn mit der Handykamera, öffnen Sie die Installationsseite und richten Sie das Zertifikat ein, unterstützt auf iOS und Android.
- iOS bietet zusätzlich die Ein-Klick-Installation eines Konfigurationsprofils.
- Gerootete Android-Geräte können das Stammzertifikat direkt in den System-Zertifikatspeicher installieren, wodurch ein manueller Import entfällt.
- Das Stammzertifikat ist universell nutzbar, und jedes Gerät muss ihm nur einmal vertrauen.
3. Lückenlose Zertifikatsabdeckung: selbst Programme, die “dem Systemzertifikat nicht vertrauen”, lassen sich entschlüsseln
Abschnitt betitelt „3. Lückenlose Zertifikatsabdeckung: selbst Programme, die “dem Systemzertifikat nicht vertrauen”, lassen sich entschlüsseln“Manche Programme lassen sich selbst mit installiertem Systemzertifikat nicht entschlüsseln, weil sie nur ihrer eigenen Zertifikatsliste vertrauen. Die lückenlose Zertifikatsabdeckung installiert das Stammzertifikat direkt in diese Programme, sodass auch sie entschlüsselt werden können:
- Java-Programme
- Python-Programme
- Kommandozeilen- und Skript-Tools wie curl / wget / Ruby / PHP / git
- Software wie Firefox / Thunderbird
Das Tool erkennt diese Software auf Ihrem Rechner automatisch (einschließlich der gerade laufenden) und zeigt für jede “installiert / nicht installiert” an. Falls die automatische Erkennung etwas übersieht, können Sie den Pfad auch manuell eingeben, um es hinzuzufügen.
Genau das ist das altbekannte Ärgernis gewöhnlicher Tools: Das Zertifikat ist installiert, doch das Programm lässt sich trotzdem nicht entschlüsseln. Die lückenlose Zertifikatsabdeckung ist das Heilmittel dafür.
4. Client-Zertifikate
Abschnitt betitelt „4. Client-Zertifikate“Wenn die Zielseite ein Client-Zertifikat verlangt und Sie zufällig eines besitzen, importieren Sie es (mit Passwort) auf der Seite “Client- / Domain-Zertifikate”; danach lassen sich diese Seiten beim Mitschneiden ganz normal entschlüsseln.
5. Wann verwenden
Abschnitt betitelt „5. Wann verwenden“- Bevor Sie zum ersten Mal HTTPS über einen Proxy mitschneiden, lassen Sie diesen Rechner / das Handy dem Stammzertifikat vertrauen.
- Beim Mitschneiden auf dem Handy: QR-Code scannen, um das Zertifikat zu installieren.
- Wenn das Ziel ein Programm wie Java / Python / curl / Firefox ist und die Entschlüsselung fehlschlägt: Nutzen Sie die lückenlose Zertifikatsabdeckung, um das Zertifikat in diese Programme zu installieren.
Zurück zu Proxy-Capture · Verwandt: Certificate Pinning aufheben