拦截请求的那些软件，例如Fiddler，是怎么解码https内容的？

额，其实你不用去关心这些解密/加密的过程，因为 Fiddler 自始至终就没有参与 “破解” 你的会话（请求），而是 Fiddler “冒充” 了，你与服务端进行通信，同时在服务端的视角里，Fiddler “冒充”了你，这就是常说的 中间人攻击(MITM)。

当你使用 Fiddler 时，必须要设置一个由 Fiddler 创建的代理，安装一个证书（对于 HTTPS 而言）。

这个代理的作用毋庸置疑就是用 Fiddler 来转发你的流量。但是证书就不一样了，Fiddler 为自己签发了一张根证书，并且引导你安装到了你的电脑中，现在 Fiddler ，就可以冒充成任意一个服务端（域名、甚至是 IP）。

现在当你发起一个请求时，实际上是你在请求 Fiddler。因为你安装了 Fiddler 签发的证书，所以 Fiddler 可以获取并解密你的请求。

然后 Fiddler 再把自己伪装成你，把你发送的参数再发给真正的服务端，这时候你可以把 Fiddler 就看成一个简单的 cURL 或者 Postman 都可以，他们只是一个请求的工具，他自然可以拿到响应，然后再顺带把响应发给你就行。

而确保 HTTPS 安全最重要的一环就是本地信任的根证书，不要轻易导入不被信任的根证书，因为他可以冒充任何人。

当然，也有预防手段，比如 SSL Pinning，但是浏览器内的网页不能使用，一般用于 App 中。

扩展阅读：

• 【web安全3】【硬核】HTTPS原理全解析_哔哩哔哩_bilibili

最后补充一个来自 ChatGPT 的解释吧。

接收方是谁？

只考虑客户端和服务端。ssl 通常意义上是客户端验证服务端的。

正常情况下，客户端只有可信的证书（有层级），这样当你想中间人攻击的时候，你无法模拟出服务端的响应。

Fiddler 的话，需要你手动给客户端导入一份证书，这个证书是 fiddle 自己颁发的，所以当你发出请求的时候，服务端其实就是 fiddle，因为他可以模拟出服务端的响应了

具体怎么解密的其实我也不知道

但是我觉得这个问题里，可能怎么实现解密不是最重要的。

看上去问题关键的地方在于 “信任证书” 。

信任证书有一个前提是：操作系统会默认信任一些可信的CA机构，windows/linux/android基本上都会有，具体不同系统设置的位置可能不一样，但是都有。

然后就是，证书都是从哪里来，两个渠道，1是找CA机构签发证书，2是自签证书。

通常，我们这边从CA机构签发的证书，它的 CA证书 已经在系统默认信任的证书列表里面了，所以如果服务端使用的是从CA机构那里签发的证书，那么客户端在和服务端建立连接通讯的时候，就能拿到服务端发送的证书，检查证书的信息，然后和本地信任的CA证书列表做对比，就能知道服务端发送的这个证书是不是受信任的证书。

如果这个时候，服务端使用了自己签发的证书，自然就过不了这个检查，因为自己签发的证书的CA，不在系统默认的CA信任列表里面。

然后回到问题，为什么Fiddler抓取HTTPS，需要安装证书，说一下这里的安装证书其实就是让系统信任Fiddler创建的CA证书。这里如果信任了Fiddler创建的CA证书，并且Fiddler拦截了HTTPS请求，再转发请求给客户端设备(这里Fiddler将证书替换成了Fiddler签发的证书)，那么客户端在进行验证服务端发送过来证书是否有效的时候(因为已经信任了Fiddler的CA证书)，就能验证通过了。

服务端的证书，正常情况下，基本上都不会用自己签的，都是CA机构签的。

Fiddler在这个抓包的流程里面，是作为一个中间人的角色。一方面，Fiddler使用自己的CA签发证书，和作为一个服务端，处理客户端的请求，另一方面，按照正常的流程发送和解密从服务端发送的数据。是两个部份，分别对应一份证书。