一说起charles抓https,大家可能要笑我了,这还用得着你教?证书往手机上一装不就行了?
然而事情并没有这么简单,很多时候你会发现,即使你配置正确,在手机上也装好了charles证书,仍然无法抓到https,如下图所示,这是为什么呢?
Charles提示Received fatal alert: certificate_unknown,你还以为是你证书没配正确,折腾半天也找不到正确姿势,其实这都是安卓系统搞的鬼。
话说回来,并不是安卓要搞鬼,而是安卓专门为了防抓包防监听而设置的新的安全策略,详情可以参见这里:https://developer.android.com/training/articles/security-config
简言之,7.0以前,安卓系统默认是选择信任系统证书及用户证书的,我们安装的charles证书就是用户证书,然而到了7.0以后,安卓决定默认不信任用户自己安装的证书了(可能Goog