Zum Inhalt springen

Certificate Pinning aufheben

Manche Apps nutzen Certificate Pinning: Sobald ein Proxy aktiv ist, können sie schlicht keine Verbindung mehr aufbauen. Das Aufheben des Certificate Pinnings bringt sie dazu, diese Prüfung zu pausieren und dem Proxy-Zertifikat zu vertrauen, sodass sie sich normal verbinden und mitgeschnitten sowie entschlüsselt werden können.


  • Eine App mit Certificate Pinning verliert beim Proxy-Capture den Netzzugang, weil sie nur ihrem eigenen eingebauten Zertifikat vertraut und das Proxy-Zertifikat nicht akzeptiert.
  • Wählen Sie diese App aus und pausieren Sie ihr Certificate Pinning, dann kann sie wieder normal auf das Netz zugreifen, sodass ihr HTTPS über den Proxy geleitet und entschlüsselt werden kann.

Wichtig: Pinning aufzuheben ist nicht dasselbe wie Klartext zu lesen. Es macht die App lediglich “bereit, dem Proxy-Zertifikat zu vertrauen”; es entschlüsselt die Inhalte nicht selbst, die Entschlüsselung erledigt nach wie vor der Proxy. Wenn Sie “den Klartext direkt aus dem Inneren des Programms lesen” möchten, ist das eine andere Sache, siehe App-Layer-Capture auf diesem Rechner.


Drei Zieltypen, jeweils auf einem eigenen Tab bedient:

  • Programme auf dem Rechner: lokale Prozesse auflisten, mit Mehrfachauswahl und Filterung nach Name oder PID.
  • iOS-Apps: ein Gerät auswählen, dann Apps auflisten (Apps, die mit einem Entwicklerzertifikat neu signiert werden müssen), oder eine Bundle-ID manuell eingeben.
  • Android-Apps: ein Gerät auswählen (muss gerootet sein), dann Apps auflisten, oder einen Paketnamen / Prozessnamen / eine PID manuell eingeben.
  • Kindprozesse automatisch behandeln (Rechner): Manche Anwendungen senden und empfangen Netzwerkanfragen über Kindprozesse, daher vermeidet die gemeinsame Behandlung verpasste Mitschnitte.
  • Ziel neu starten: die App zuerst neu starten, dann verarbeiten, um auch Anfragen früh im Startvorgang abzudecken.

Certificate Pinning aufheben: getrennte Tabs für Ziele auf Rechner / iOS / Android, Mehrfachauswahl gefiltert nach Prozessname oder PID, daneben die Schalter “Kindprozesse automatisch behandeln” und “Ziel neu starten”


  • Abgedeckt: die Certificate-Pinning-Methoden der allermeisten gängigen Apps, einschließlich verbreiteter nativer kryptografischer Komponenten verschiedenster Art sowie der unter Android gängigen Pinning-Frameworks.
  • Echtzeit-Rückmeldung zum Ergebnis: bei Erfolg wird Ihnen mitgeteilt, wie viele Ziele / Prozesse behandelt wurden; nutzt eine App eine seltene, noch nicht unterstützte Netzwerkkomponente, wird das klar gesagt, statt Sie warten zu lassen.
  • Einige Fälle sind nicht geeignet: In Go oder Rust geschriebene Programme oder Desktop-Java-Programme eignen sich in der Regel nicht zum Aufheben des Pinnings; lesen sie das Systemzertifikat, installieren Sie das Zertifikat einfach in den System-Trust-Store bzw. ihren eigenen Trust Store, ganz ohne Pinning aufzuheben.

  • Wenn eine mitgeschnittene App Certificate Pinning nutzt und den Netzzugang verliert, sobald ein Proxy aktiv ist, wählen Sie sie aus und heben Sie das Pinning innerhalb der Proxy-Sitzung auf.
  • Um Anfragen früh im Startvorgang einer App mitzuschneiden: aktivieren Sie “Ziel neu starten”.
  • Bei Multiprozess-Desktop-Anwendungen: lassen Sie “Kindprozesse automatisch behandeln” aktiviert.

Zurück zu Proxy-Capture · Verwandt: Zertifikate verwalten und installieren · App-Layer-Capture auf diesem Rechner