1、浏览器兼容性问题,目前我们支持的浏览器有ie、edge、chrome、firefox、sogou、360、qq、遨游(遨游浏览器仅支持兼容模式)。其余浏览器由于未处理注入问题,使用非ie内核访问时会导致无法解密。
2、该https网站使用的是tls1.3协议,或者使用的是http2.0,则无法解密,需要之后的版本再进行处理。
3、13.0.15版本支持Http2.0协议解密审计:解决部分web服务器使用基于http2.0协议的加密,无法解密导致审计失败问题(20200316更新)
通过禁用浏览器的http2.0协议,强制浏览器使用http1.x协议与服务器通信达到解密效果
4、配置准入解密方式需要重启下浏览器,才能解密数据。测试发现不生效时,可以关闭浏览器重新打开验证下。(20200413更新)
如何判断网站使用的是tls1.3呢?
见下图,访问网站,打开浏览器开发者工具(f12),看Security选项
如何判断是否使用的是http2.0呢:
浏览器F12,看network页面,如下图,将protocol显示出来。
![]()
显示是http/1.1表示就是http1.1的,如果显示是h2,就表示是用的http2.0
准入客户端代理解密
准入客户端代理解密取代准入客户端插件解密方式,实现高吞吐率解密、无感知安装客户端、更高兼容性地解密。
原理:PC上网的代理流量通过代理插件跟服务器交互,直接从系统层面提取到主会话密钥进行解密。目前终端代理与windows做适配,通过客户端代理程序修改数据包模拟NAT功能,从而实现对windows上所有TCP/UDP连接进行代理的功能,并在此基础上实现SSL中间人代理、SOCKS代理等功能。
代理客户端只针对常用浏览器和其他支持审计的应用进行代理解密
