Shadowrocket的HTTPS解密功能可实现加密流量深度分析,本文详解证书安装、MITM配置及分流规则编写全流程,解决证书信任与代理冲突问题,适用于网络调试与跨境数据监测场景。
为什么需要HTTPS解密
小火箭(Shadowrocket)作为iOS平台主流网络加速工具,其HTTPS解密(MITM)功能允许用户审查加密流量内容,适用于API调试、广告过滤规则编写及跨境办公网络诊断,小火箭HTTPS解密配置教程的核心在于证书链信任与分流规则协同,错误配置将导致证书警告或隐私泄露风险。
前置准备:证书安装
解密HTTPS前必须安装CA证书至系统信任区:
- 小火箭设置 → 证书 → 生成新的CA证书
- 安装描述文件 → 设置 → 通用 → VPN与设备管理 → 信任该证书
- 关键步骤:设置 → 通用 → 关于本机 → 证书信任设置 → 完全信任
未开启完全信任会导致解密失效,表现为所有HTTPS网站证书错误。
配置流程详解
启用MITM功能
在配置文件中添加:
mitm:
enable: true
ca: generated # 使用生成的证书
hostname:
- "*.google.com"
- "*.github.com"
hostname支持通配符,但建议精确匹配目标域名以减少性能损耗。
代理组策略选择
解密后的流量需经过特定代理组处理,三种模式适用场景不同:
- select(手动选择):适合调试特定节点,用户主动切换
- url-test(自动测速):基于延迟自动选择,适合视频流媒体
- fallback(故障转移):主节点失效时自动切换,适合跨境办公稳定性要求
配置示例:
proxy-groups:
- name: "解密流量"
type: url-test
url: http://www.gstatic.com/generate_204
interval: 300
proxies:
- 节点A
- 节点B
分流规则编写
解密与分流存在优先级冲突,规则顺序决定处理逻辑:
- DOMAIN:精确匹配单域名,优先级最高
- DOMAIN-SUFFIX:匹配后缀,适合拦截广告域名
- IP-CIDR:基于IP段分流,解密后需重新匹配
- GEOIP:国家代码匹配,通常置于最后
rules: - DOMAIN,analytics.google.com,REJECT - DOMAIN-SUFFIX,doubleclick.net,REJECT - IP-CIDR,142.250.0.0/16,解密流量 - GEOIP,CN,DIRECT
TUN模式与系统代理差异
小火箭iOS端采用系统代理(System Proxy)机制,仅接管HTTP/HTTPS流量,与Clash的TUN模式不同,系统代理无法处理UDP及ICMP流量,这意味着:
- 游戏加速需单独配置
- DNS查询可能泄露
- HTTPS解密仅作用于被代理的TCP连接
如需全流量接管,需配合VPN模式开关,但会增加电池消耗。
常见问题排查
现象:开启解密后所有网站显示"不受信任证书" 原因:iOS未将CA证书设为完全信任,或证书已过期。 解决:重新生成证书并确保"设置 → 通用 → 关于本机 → 证书信任设置"中开启完全信任。
现象:特定App无法联网,提示SSL错误 原因:该App启用SSL Pinning(证书固定),拒绝中间人证书。 解决:将该App域名加入跳过解密列表(skip-proxy)或改用规则分流绕过MITM。
现象:解密后网速显著下降 原因:加密解密运算增加CPU负载,或代理组url-test频繁切换。 解决:增大测速间隔(interval: 600),并关闭不必要的域名解密范围。
节点配置建议
实现稳定HTTPS解密需配合高质量节点,建议选择支持TLS 1.3的线路,对于需要长期抓包分析的用户,可考虑具备专线中转的订阅服务,确保解密过程中的传输延迟不影响数据完整性,部分专业机场提供针对MITM优化的低延迟节点,适合学术资源访问与API调试场景。
掌握小火箭HTTPS解密配置教程不仅能提升网络调试效率,更能精准控制跨境数据流向,合理配置证书信任、分流规则与代理组策略,可在保障隐私的前提下实现流量深度分析,建议定期更新CA证书并审查解密域名列表,避免不必要的性能开销。
