Ssl 客户端可能不信任代理证书，尽管将\u上游\u证书\u添加到\u客户端\u链设置为True

我试图在远程服务器和物联网网桥设备之间执行MITM，但即使我设置了add_upstream_certs_to_client_chain=true，我仍然会收到“客户端可能不信任代理的证书”错误，因此基本上这意味着代理不对客户端使用上游证书

这就是我运行mitmproxy的方式：

-模式透明-ssl不安全-设置添加上游证书到客户端链=true

我做错了什么

我做错了什么

你的期望是错误的。此选项仅用于愚弄证书固定的不安全实现，该实现只检查服务器发送的证书，而不发送实际用于对服务器进行身份验证的证书-有关详细信息，请参阅

---

<> P>一个适当的证书验证不会被这个选项愚弄，否则中间人攻击会很容易。客户端实际上需要明确地信任MITMyPrxor所创建的证书，即如果您想在中间攻击中进行主动人，则需要在客户端进行更改。

我投票赞成关闭这个问题，因为这不是编程问题。我必须删除以前的评论。现在我了解了证书固定，以及为什么可能出现“客户端可能不信任”错误。所以，如果我再次订购相同的物联网设备，并且如果我再次执行MITM作为第一件事，那么我应该能够获得客户的信任，因为我将提供第一个公钥。我真的在试着去理解缺失了什么。你能导航吗me@LifeIsBeatiful: ... 如果我再次执行MITM作为第一件事，那么我应该能够获得客户的信任…-只有当设备依赖于首次使用豆腐的信任而不是内置的信任商店时，这才有效。通常不使用豆腐，浏览器也不使用。我仍然不明白为什么我不能绕过这一措施。无论是证书固定还是公钥固定，我都能够从客户端和服务器之间的握手中提取它。为什么我不能以客户信任的方式效仿服务器？@ LIFESS：如果有人在中间没有Twitter连接，就不需要客户的明确同意，即明知信任MITM CA，那么这对TLS的安全是非常不利的。我能够获得客户端通常信任的上游服务器的证书。我能够提取固定公钥等，因为它来自服务器，我可以对实际的客户端使用。如果我向客户端提供服务器证书，为什么会出现“客户端可能不信任代理证书”的错误？我真的不明白。你能用一些链接导航吗？我真的很困惑