Salta ai contenuti

Installare e gestire i certificati

Per catturare HTTPS con un proxy, il primo passo è fare in modo che dispositivi e software si fidino del certificato radice di questo strumento, altrimenti si ottengono errori TLS e non è possibile decifrare. La gestione dei certificati rende tutto questo semplice, con un clic, e completo: questa macchina, i telefoni e persino quei programmi che “anche dopo aver installato il certificato di sistema continuano a non fidarsi” possono essere configurati tutti.


  • Verifica in qualsiasi momento se questa macchina si fida già del certificato radice di questo strumento.
  • “Installa e rendi attendibile su questa macchina” con un clic, una volta sola e per sempre, dopodiché ogni sessione può decifrare HTTPS.
  • Quando serve, scarica il certificato radice (in vari formati) per distribuirlo manualmente.

Gestione dei certificati: installazione con un clic dello stato di attendibilità della macchina, download in vari formati, copertura completa degli archivi di attendibilità indipendenti come Java / Python / OpenSSL, e generazione di un QR-code per l’installazione sul telefono


2. Installazione sul telefono scansionando un QR-code

Sezione intitolata “2. Installazione sul telefono scansionando un QR-code”
  • Genera un QR-code per ciascun indirizzo utilizzabile sulla LAN; scansionalo con la fotocamera del telefono, apri la pagina di installazione e configura il certificato, supportato sia su iOS che su Android.
  • Su iOS è disponibile anche l’installazione con un clic di un profilo di configurazione.
  • I dispositivi Android con root possono installare il certificato radice direttamente nell’archivio dei certificati di sistema, evitando l’importazione manuale.
  • Il certificato radice è utilizzabile ovunque, e ogni dispositivo deve fidarsene una volta sola.

3. Copertura completa dei certificati: si possono decifrare anche i programmi che “non si fidano del certificato di sistema”

Sezione intitolata “3. Copertura completa dei certificati: si possono decifrare anche i programmi che “non si fidano del certificato di sistema””

Alcuni programmi non riescono a essere decifrati nemmeno dopo aver installato il certificato di sistema, perché si fidano solo del proprio elenco di certificati. La copertura completa dei certificati installa il certificato radice direttamente in questi programmi, così anche loro possono essere decifrati:

  • Programmi Java
  • Programmi Python
  • Strumenti da riga di comando e di scripting come curl / wget / Ruby / PHP / git
  • Software come Firefox / Thunderbird

Lo strumento individua automaticamente questi software presenti sulla tua macchina (compresi quelli attualmente in esecuzione) e mostra per ciascuno “installato / non installato”. Se il rilevamento automatico dovesse tralasciare qualcosa, puoi anche inserire manualmente il percorso per aggiungerlo.

È proprio questo il classico grattacapo degli strumenti comuni di cattura: il certificato è installato, eppure il programma continua a non poter essere decifrato. La copertura completa dei certificati è la cura per questo.


Se il sito di destinazione richiede un certificato client e tu ne possiedi uno, importalo (con la relativa password) nella pagina “Certificati client / di dominio”, e da quel momento questi siti potranno essere decifrati normalmente quando li catturi.


  • Prima di catturare HTTPS con un proxy per la prima volta, fai in modo che questa macchina / il telefono si fidi del certificato radice.
  • Cattura su telefono: scansiona il QR-code per installare il certificato.
  • Quando il target è un programma come Java / Python / curl / Firefox e la decifratura non riesce: usa la copertura completa dei certificati per installare il certificato al loro interno.

Torna a Cattura tramite proxy · Correlato: Rimuovere il certificate pinning