抓包时碰到强制SSL证书双向认证怎么办？

大家好，我是阿萨。最近碰到使用浏览器使用HTTPS抓包时，抓包工具无法抓包。而且还是使用HSTS的模式以及SSL Pinning 技术。

首先介绍下HSTS：

HSTS（HTTP Strict Transport Security）国际互联网工程组织IETF正在推行一种新的Web安全协议

HSTS的作用是强制客户端（如浏览器）使用HTTPS与服务器创建连接。

需要详细了解SSL Pinning的，自行搜索。

因为强制使用了自己证书校验，抓包工具的SSL证书就校验不通过了，这时需要将网站证书导入抓包工具中才能正常工作。

那有些人就说了，我没有证书咋办呢？

别急。我们先打开需要抓包的网址。HTTPS的网址前面会有一把锁。点开锁，可以查看证书详情。以Mac 电脑 Chrome 浏览器 Stack Overflow 网站截图为例。

点 Connection is Secure 位置。

点击 Certificate is valid 打开链接。查看证书名称。

打开KeyChain （ 可以直接在浏览器里管理证书位置打开keyChain）。找到对应证书。点击右键，导出你想要的格式

导出证书后，倒入抓包工具的证书管理工具里，重启抓包工具就可以了。

windows导出证书和mac的导出方法不一致。

Windows 的浏览器查看证书位置，可以直接导出证书。

Mac是key chain管理的。

大家赶快试一试吧。