Android 和 iOS 双持，谈谈开放的 Android 不如封闭的 iOS 的一个地方

可能是因为 Android 的根证书安装起来门槛太低了，不过用户根证书也是可以安装到系统根里的，只要你 root 了就可以

另外是否信任用户根其实是应用的选择，应用甚至可以不信任系统根而是信任内置的公钥

@XiLingHost 能不能详细说明一下，root 之后如何添加根证书。Android 直接在设置中添加需要连密钥一同添加，我并不想把密钥也放进去。于是我直接把证书放到系统的证书目录里（目录应该是没错，我看设置中列出的其他预装根证书都在这个目录里）。但这样操作之后，手机安装的软件还是不信任我的 CA ，并且系统也弹出不信任的 CA 的通知。

@butanediol2d 不是直接放就行，名字有讲究，要生成对应的名字才行，具体的生成方法我忘记了。我有自己的 CA,root 之后改对名字放进对应目录一直没问题

这个里面有讲如何生成 hash
https://blog.kylemanna.com/android/android-ca-certificates/

自己放证书的就打扰了，https://github.com/Goooler/Http-Canary-For-Android-11Backup-file

所以，安卓小白想问问，到底怎么样可以愉快地抓包？

@NULL2020 http 该怎么抓怎么抓，https 需要安装证书，Android 到一定版本后还需要使用类似 JustTrustMe 之类的插件。再多的细节就记不得了。如果遇到证书绑定的 App ，要更麻烦一些

你 Google 了吗？怎么说？

@churchmice 感谢，我尝试一下。

iOS 也不是没有 ssl pinning ，只是好像没安卓那么广

应该 Google 为了防止人们过滤广告

iOS 上遇到过 SSL Pinning 的，那种就很难搞了

@NULL2020 大概可以考虑 WSA 喵？

ssl pinning 咋解决的？

比喻很形象

Android 我记得用户导入的根证书和系统自动信任的根证书位置是不一样的，某些情况下系统不认，要想达到同等的效果需要 ROOT 。
iOS 信任的根证书也不是无条件的，苹果的一些域名只能用系统证书，无解。SSL Spinning 只能搞自签名应用，要么每年给苹果交钱，要么一周过期一次。过两年侧载法律落地了应该就没有这个问题了。

但是只要你有了 root ，也可以为所欲为 /doge

@NULL2020 Android-SSL-TrustKiller 或者 JustTrustMe 模块或者直接用将用户证书置为根证书，用 Fiddler ，能抓 https 明文

而且只是 Android 7 以上不信任用户证书，可以说是 Android 在普通消费者版本逐渐在收紧权限。

退一步说 Android 也还是开发源代码的，可以比喻为 Android 在外眼里逐渐从疯丫头变成乖巧，在家里头身体每个细胞你都能掌控

而且对于普通消费来说确实是安全了，确实难抓包了，全是空包。

对于开发者来说，备一台 root 开发机应该是比较好的。

@NULL2020 或者手机运行 root 虚拟机或者平行空间，虚拟机里安装根证书，手机抓虚拟机的包