我刚才发现，提琴手可以解密HTTPS流量。

举例来说，我部署使用HTTPS在本地主机上一个网站。 当检查在提琴手的数据包，我能看到所有的信息，因为它有一个选项来解密。

我的问题是，为什么要使用HTTPS时提琴手可以很容易地将其解密？

提琴手进行MITM技术。

为了使它工作，你需要信任其证书：

http://www.fiddler2.com/fiddler/help/httpsdecryption.asp

如果不这样做，也不会解密什么...

怎么能Fiddler2调试HTTPS流量 ？

答：Fiddler2依赖于“人在中间人”的方式来HTTPS拦截。 要在您的网页浏览器，Fiddler2声称自己是安全的Web服务器，以及Web服务器，Fiddler2模仿网页浏览器。 为了冒充网络服务器，Fiddler2动态生成HTTPS证书。

提琴手的证书不是由你的网络浏览器信任的（因为提琴手是不是一个受信任的根证书颁发机构），并因此而Fiddler2被截获您的流量，你会在你的浏览器中看到一个HTTPS错误消息[...]

为了解密HTTPS流量，你必须首先在你的“可信/根证书”列表安装提琴手的根证书。 提琴手的根证书不被它默认自带操作系统的根证书。 操作系统通常会提醒你，当你试图安装此。

在这样做时，您明确开始信任由提琴手的根证书签名的任何证书。 当你现在做一个HTTPS请求，提琴手将在中间人攻击与执行的人。

假定你在表单的请求https://google.com 。 提琴手现在将作为谷歌的实际服务器和将创建Google.com上假的认证和使用招的根证书签名。 您将收到已经由小提琴手签署本假证书。 该证书将通过设备的验证，因为提琴手的根证书，现在在你信任的证书。 现在，您的设备将开始通过安全的HTTPS连接使用Fiddler通信。 提琴手将中继邮件到Google.com和还给你。 当然提琴手将能够解密。

这是需要注意的是，从提琴手到谷歌的流量将通过第二安全的HTTPS通道发生。

因此，不用担心由HTTPS提供的安全性。