Fiddler certificate error

I am using Fiddler to monitor HTTPS traffic for our private project. After upgrading to Windows 10 and installing Fiddler, I am unable to create a root certificate. I tried using Both CertEnroll and MakeCert and both returned that they cannot create a root certificate:

09:53:54:2275 Fiddler.CertMaker> [C:Program Files (x86)Fiddler2MakeCert.exe -r -ss my -n «CN=DO_NOT_TRUST_FiddlerRoot, O=DO_NOT_TRUST, OU=Created by http://www.fiddler2.com» -sky signature -eku 1.3.6.1.5.5.7.3.1 -h 1 -cy authority -a sha256 -m 132 -b 01/07/2015 ] Returned Error: Creation of the interception certificate failed.

makecert.exe returned -1.

Results from C:Program Files (x86)Fiddler2MakeCert.exe -r -ss my -n «CN=DO_NOT_TRUST_FiddlerRoot, O=DO_NOT_TRUST, OU=Created by http://www.fiddler2.com» -sky signature -eku 1.3.6.1.5.5.7.3.1 -h 1 -cy authority -a sha256 -m 132 -b 01/07/2015

Error: Can’t create the key of the subject (‘JoeSoft’)
Failed

AND

09:43:37:0332 /Fiddler.CertMaker> Invoking CertEnroll for Subject: CN=DO_NOT_TRUST_FiddlerRoot, O=DO_NOT_TRUST, OU=Created by http://www.fiddler2.com; Thread’s ApartmentState: MTA
09:43:39:0853 !ERROR: Failed to generate Certificate using CertEnroll. System.Reflection.TargetInvocationException Exception has been thrown by the target of an invocation. < CertEnroll::CX509PrivateKey::Create: The requested operation cannot be completed. The computer must be trusted for delegation and the current user account must be configured to allow delegation. 0x80090345 (-2146892987 SEC_E_DELEGATION_REQUIRED)

Every time when changing the service I Reset All Certificates and/or Removed Interception Certificates. Also the key in AppData/Roaming/Microsoft/Crypt/RSA/{LONG_ID} is nowhere to be found (the folder is always empty).
After browsing through forums, I followed some instructions and downloaded the Bouncy Castle Certificate Maker (the one suggested for Android) and that one created 2 root certificates and added them to Windows so they will be trusted. After doing so, all my HTTPS traffic looked like HTTP with tunneling. When looking into that issue, I found that in Text view it said

«This is a CONNECT tunnel, through which encrypted HTTPS traffic flows.
Fiddler’s HTTPS Decryption feature is enabled, but this specific tunnel was configured not to be decrypted. Settings can be found inside Tools > Fiddler Options > HTTPS.»

AND the logger returned a few of the following:

«10:02:38:5419 !Certificate cache didn’t find certificate for [server.com]. Returning null to thread #30. ___ 10:02:38:5419 fiddler.https> Failed to obtain certificate for server.com due to Certificate Maker returned null when asked for a certificate for server.com»

«Failed to create certificate for server.com: The requested operation cannot be completed. The computer must be trusted for delegation and the current user account must be configured to allow delegation.»

In the properties of a tunneling connection, I found

«X-HTTPS-DECRYPTION-ERROR: Could not find or generate interception certificate.»

Do you have any solutions for me? I’d really appreciate it. Thank you!

Время прочтения
3 мин

Просмотры 12K

При работе с Fiddler часто возникают проблемы, которые решаются перезапуском сниффера, перезагрузкой компьютера или девайса, с которого сниффится трафик. Но бывает и такое, что перезапуском проблема не решилась и даже полной переустановкой фиддлера. Это статья не о чем-то новом и неизведанном, а скорее туториал, который поможет вам, когда вы всё сделали правильно, но «ничего не работает».

Для начала стоит проверить (даже, если уже проверяли) настройки Fiddler и девайса, с которого вы хотите сниффить трафик.

Настройка Fiddler на Windows для сниффинга трафика с iOS и Android девайсов

1. Открыть Fiddler

2. Перейти Tools -> Options

3. Во вкладке Connections установить галочку Allow remote computers to connect

   

4. Перезагрузить Fiddler, чтобы изменения вступили в силу

5. Во вкладке HTTPS:

   1) установить галочку на Capture HTTPS CONNECTs

   2) установить галочку на Decrypt HTTPS traffic

   3) в появившемся окне “Trust the Fiddler Root certificate” кликнуть Yes

   4) в окне Security Warning кликнуть Yes

   5) в окне Add certificate to the Machine Root List? Нажать Yes

   6) в появившемся окне “Do you want to allow this app to make changes to your device?” выбрать Yes

   7) установить галочку Ignore server certificate errors (unsafe)

   

6. В остальных вкладках оставить всё по дефолту, нажать ОК

7. В верхнем тулбаре активировать Stream и Decode

   

Настройка iOS девайса для работы с Fiddler

1. Открыть Settings

2. Тапнуть пункт Wi-Fi

3. Тапнуть иконку i у сети, у которой подключен девайс

4. Проскроллить вниз и перейти в пункт Configure Proxy

5. Выбрать Manual

6. В поле Server ввести свой IP адрес

7. В поле Port ввести свой Порт, тапнуть Save

8. Открыть браузер и ввести в адресную строку http://ipv4.fiddler:{Port}. Например, если порт 8888, то ссылка будет выглядеть так  http://ipv4.fiddler:8888 ИЛИ ввести в адресную строку {IP}:{Port}, например, 192.168.162.202:8888

9. Тапнуть на ссылку “FiddlerRoot certificate” и загрузить сертификат

10. Перейти в Settings -> General -> Profile и установить скачанный сертификат

11. Перейти в Settings -> General -> About -> Certificate Trust Settings и поставить чекбокс у нашего сертификата

Настройка Android девайса для работы с Fiddler

1. Открыть Settings

2. Тапнуть Wi-Fi

3. Тапнуть и удерживать сеть Wi-Fi, к которой подключен девайс

4. Выбрать Modify Network

5. Выбрать “Show advanced options”

6. Тапнуть Proxy и выбрать Manual

7. В поле Server ввести свой IP адрес

8. В поле Port ввести свой Порт, тапнуть Save

9. Открыть браузер и ввести в адресную строку http://ipv4.fiddler:{Port}. Например, если порт 8888, то ссылка будет выглядеть так  http://ipv4.fiddler:8888 ИЛИ ввести в адресную строку {IP}:{Port}, например, 192.168.162.202:8888

10. Тапнуть на ссылку “FiddlerRoot certificate”, сертификат загрузится на девайс

11. Установка должна произойти автоматически, если сертификат не установился, то свайпнуть вниз и тапнуть иконку Settings

12. Перейти Personal -> Security

13. Перейти в Credential Storage и тапнуть “Install from storage”

14. Тапнуть файл  FiddlerRoot.cer

15. (Опционально) Ввести имя сертификата, например, FiddlerRoot

16. Проверить эту конфигурацию можно Trusted credentials -> User, там должен отобразится установленный сертификат

Запросы HTTPs остаются зашифрованными

1. Нужно здесь скачать плагин генерации сертификатов “CertMaker for iOS and Android”

2. Перейти в Fiddler в Tools -> Options -> HTTPS и в Certificates generated by выбрать CertMarker

3. Перезапустить Fiddler

4. На девайс повторно скачать сертификат с http://ipv4.fiddler:{Port}, т.к. он будет генерироваться заново

5. Выполнить установку сертификата на девайсе

После всех вышеописанных манипуляций Fiddler будет послушно декодировать необходимые HTTPs запросы с девайса.

Ошибка сертификата Fiddler 4 в Windows

Я использую Fiddler для мониторинга HTTPS-трафика в нашем частном проекте. После обновления до Windows 10 и установки Fiddler я не могу создать корневой сертификат. Я попытался использовать CertEnroll и MakeCert, и оба вернули, что не могут создать корневой сертификат:

Ошибка: не удается создать ключ темы (‘JoeSoft’) Ошибка

Каждый раз при смене сервиса я сбрасываю все сертификаты и / или удаляю сертификаты перехвата. Также нигде нет ключа в AppData/Roaming/Microsoft/Crypt/RSA/ (папка всегда пуста). После просмотра форумов я выполнил некоторые инструкции и загрузил создатель сертификатов Bouncy Castle (тот, который предлагается для Android), а тот создал 2 корневых сертификата и добавил их в Windows, чтобы им можно было доверять. После этого весь мой HTTPS-трафик выглядел как HTTP с туннелированием. Изучая эту проблему, я обнаружил, что в текстовом представлении было сказано

«Это туннель CONNECT, через который проходит зашифрованный HTTPS-трафик. Функция расшифровки HTTPS Fiddler включена, но этот конкретный туннель был настроен так, чтобы не расшифровываться. Настройки можно найти в Инструменты> Параметры Fiddler> HTTPS».

И регистратор вернул несколько из следующего:

«10: 02: 38: 5419! В кэше сертификатов не найден сертификат для [server.com]. Возвращается значение null в поток № 30. ___ 10: 02: 38: 5419 fiddler.https> Не удалось получить сертификат для server.com из-за того, что Certificate Maker вернул null при запросе сертификата для server.com «

«Не удалось создать сертификат для server.com: запрошенная операция не может быть завершена. Компьютер должен быть доверенным для делегирования, а текущая учетная запись пользователя должна быть настроена для разрешения делегирования».

В свойствах туннельного соединения я нашел

«X-HTTPS-DECRYPTION-ERROR: не удалось найти или создать сертификат перехвата».

У вас есть какие-нибудь решения для меня? Я был бы очень признателен. Спасибо! 🙂

Источник

How do I force Windows 10 to trust the Fiddler root certificate?

I need to intercept certain HTTPS traffic from the local application to the remote web site. On Win7 it was easy enough to achieve by using http://FiddlerTool.com Now I am running the Windows10 box, and no matter what I do, the system does not trust the temp certificates generated by fiddler. The steps performed so far: 1. Used the action «Trust root certificate» from Fiddler settings/Https/Actions menu 2. Exported the root cert onto the desktop, imported into both Local Machine’s and current users Trusted Root Authorities sections

Still IE reports «the certificate is not issued by a trusted root authority», and the client app I need to trace complains that «it is not possible to establish a secure SSL/TLS connection with the remote host», which is the same diag in other words.

5 Answers 5

I had a similar issue whereby not HTTPS traffic could be picked up by Fiddler in Windows 10.

Resolved as follows: In Fiddler (v4.6.2): Tools Menu >> Fiddler Options >> HTTPS Tab >> Actions button >> Reset All Certificates.

Apparently the issue (at least the one I was having) was caused by having a mixture of old and new certs:

I’ve made changes to the latest versions of Fiddler to improve the performance of certificate creation, and to avoid problems with new certificate validation logic coming to Chrome and Firefox. The biggest of the Fiddler changes is that CertEnroll is now the default certificate generator on Windows 7 and later. Unfortunately, this change can cause problems for users who have previously trusted the Fiddler root certificate; the browser may show an error message like NET::ERR_CERT_AUTHORITY_INVALID or The certificate was not issued by a trusted certificate authority.

Источник

Как заставить Windows 10 доверять корневому сертификату Fiddler?

Мне нужно перехватить определенный HTTPS-трафик из локального приложения на удаленный веб-сайт. На Win7 этого было достаточно просто сделать с помощью http://FiddlerTool.com. Теперь я работаю с Windows10, и, что бы я ни делал, система не доверяет временным сертификатам, сгенерированным fiddler. Выполненные до сих пор шаги: 1. Использовали действие «Доверять корневому сертификату» из меню «Параметры / Https / Действия» Fiddler. 2. Экспортировали корневой сертификат на рабочий стол, импортируя его в разделы «Доверенные корневые органы» как локального, так и текущего пользователя

Тем не менее IE сообщает, что «сертификат не выдан доверенным корневым центром», а клиентское приложение, которое мне нужно отследить, жалуется, что «невозможно установить безопасное соединение SSL / TLS с удаленным хостом», то есть тот же диагональ другими словами.

У меня была похожая проблема, из-за которой Fiddler не мог получить трафик HTTPS в Windows 10.

Решено следующим образом: В Fiddler (v4.6.2): ​​Меню инструментов >> Параметры Fiddler >> Вкладка HTTPS >> Кнопка Действия >> Сбросить все сертификаты.

Видимо проблема (по крайней мере та, которую я имел) была вызвана наличием смеси старых и новых сертификатов:

Я внес изменения в последние версии Fiddler, чтобы повысить производительность создания сертификатов и избежать проблем с новой логикой проверки сертификатов, поступающей в Chrome и Firefox. Самое большое из изменений в Fiddler заключается в том, что CertEnroll теперь является генератором сертификатов по умолчанию в Windows 7 и более поздних версиях. К сожалению, это изменение может вызвать проблемы у пользователей, которые ранее доверяли корневому сертификату Fiddler; в браузере может отображаться сообщение об ошибке, например NET :: ERR_CERT_AUTHORITY_INVALID или Сертификат не был выдан доверенным центром сертификации.

Источник

By default, Fiddler intercepts insecure traffic (HTTP) but it can be configured to decrypt secure (HTTPS) traffic. In order to do so, the proxy executes a man-in-the-middle attack against the secure traffic; to achieve that, Fiddler must generate a root certificate and use that root certificate to generate multiple end-entity certificates, one for each HTTPS site which is being intercepted.

Certificate Generators

Default Provider
On Windows, Fiddler defaults to using Microsoft’s makecert.exe command line utility to generate the root and end-entity certificates. All generated certificates are stored in the Fiddler-running user’s Windows certificate storage area. (Certificates can be seen by launching the CertMgr.msc utility).

There are three downsides to the makecert.exe tool:

Issue #1 is that, because Fiddler generates one certificate for each HTTPS site you visit, your Windows Certificate store can be “polluted” with dozens or hundreds of Fiddler-generated end-entity certificates. This is generally harmless, but can cause performance problems if you’re using Cisco VPN Software or Roaming User Profiles in Windows. That’s because these features attempt to copy all of the Certificates in your Windows Certificate store on logon/logoff, and if you have tons of Fiddler-generated certificates, this can be a problem. One workaround for this problem is to set the fiddler.CertMaker.CleanupServerCertsOnExit preference, which cleans up all end-entity certificates each time Fiddler exits.

Issue #2 is that the certificates generated by makecert.exe lack important fields (specifically, the Authority KeyID field) that are required by iOS-based clients (as well as some Android clients). As a consequence, with the default certificate maker, iOS applications will always complain about invalid certificates if you use Fiddler to decrypt their traffic, even if you try to trust the Fiddler root certificate on the iOS device.

Lastly, issue #3 is that makecert.exe only runs on Windows, and thus is not available for Mac/Linux. Fiddler can run on those platforms via Mono and thus requires a different approach to certificate generation.

CertMaker Add-on
To address each of these shortcomings, the CertMaker add-on replaces the default certificate generator with a C#-implementation based on the BouncyCastle C# library. Certificates generated by this add-on are not stored inside the Windows certificate store and include the fields required for compatibility with iOS and Android. Additionally, the add-on works properly on the Mono Framework, and thus it is the default Certificate Generator for Fiddler on Mono.

You can determine which certificate generator is in use by looking at the Tools > Fiddler Options > HTTPS tab:

There are no real downsides to using the CertMaker add-on in lieu of the default makecert-based generator, aside from the add-on’s 210kb download size.

Security Concerns

Fiddler’s HTTPS interception capabilities (rightly) raise eyebrows among security-conscious users.

Trusting the Root

By default, Fiddler does not reconfigure your system to trust the Fiddler root certificate, but it does provide the option to do so. Several prompts are shown when you first tick the Decrypt HTTPS traffic checkbox.

First, Fiddler itself asks whether you’d like to trust the root certificate it generates:

If you select No (the default) then nothing else happens, and your browsers and other software will typically complain about invalid certificates when interacting with HTTPS sites that Fiddler has intercepted. (If your software doesn’t complain about an invalid certificate, it has a security bug!)

If you select Yes, then Fiddler will instruct Windows to import the generated root certificate into the current user’s Trusted Root Certification Authorities store. The following prompt is then shown:

If you select No (the default) then nothing else happens, and your browsers and other software will typically complain about invalid certificates when interacting with HTTPS sites that Fiddler has intercepted. (If your software doesn’t complain about an invalid certificate, it has a security bug!)

If you select Yes, then software running in the current user account should trust certificates generated by Fiddler. However, there are some exceptions to this: for instance, Windows 8 “Metro”/“AppStore” applications ignore the current user’s Trusted store but generally do respect certificates in the machine Trusted store. When running on Windows 8+ (or if the fiddler.CertMaker.OfferMachineTrust preference is set to True ), Fiddler will next prompt you to trust the certificate on a machine-wide basis.

This operation requires Administrative permissions, so first you’ll see a prompt for elevation to Admin:

…and then the TrustCert.exe tool will prompt you to confirm the operation:

At the end of this flurry of prompts, virtually all applications on your PC will trust Fiddler-generated certificates. The two exceptions are AppStore/Metro applications which have a fixed certificate list (“pinning”) and Firefox. Firefox can be easily reconfigured to trust Fiddler’s root by following these steps.

What’s the Risk?

Many security folks are worried that, if a user configures Windows to trust Fiddler’s root certificate, that user could have their traffic intercepted and decrypted by any other Fiddler user. They assume that Fiddler is sharing the same root certificate across all installations.

Fear not! Every Fiddler root certificate is uniquely generated, per user, per machine. No two Fiddler installations have the same root certificate. The only way for a Fiddler user to be “spoofed” by a bad guy is if that bad guy already is running code inside the user’s account (which means you’d already be pwned anyway).

The fact that every Fiddler root certificate is unique can actually be problematic, if you’ve configured one machine (Machine A) to send traffic to a different machine (Machine B) which is decrypting traffic. If you’d ever configured Machine A to trust the Root Certificate generated by Fiddler on Machine A, when it encounters a Fiddler-generated certificate chaining to the root generated by Machine B, IE will show a “Page cannot be displayed” error rather than the normal “untrusted certificate” message. When Windows sees that Machine B’s certificate chains to a root certificate of the same name, but a different private key, than the locally-trusted root, it panics and kills the connection. (This scenario was sufficiently obscure that the IE team never built a specific error page for it).

Can I See the Keys?

In some cases, you might be interested in getting the private keys used by Fiddler’s certificates (say, because you’d like to provide the private key to Wireshark).

Grabbing the private key is not (easily) possible when using the default certificate generator, but it’s easy to do with the CertMaker plugin. Simply type about:config in Fiddler’s QuickExec box and filter the preference list to those preferences that contain the word certmaker :

The preference fiddler.certmaker.bc.cert caches the base64-encoded root certificate, while fiddler.certmaker.bc.key contains the associated private key. The fiddler.certmaker.bc.debug preference controls whether debug information is spewed to the Log tab when certificates are generated. The fiddler.certmaker.bc.logprivatekeys preference controls whether private keys are logged on the Log tab as they are generated. The fiddler.certmaker.bc.reuseprivatekeys preference controls whether the CertMaker plugin reuses a single private key for all end-entity certificates generated within a single Fiddler session.

Please let me know if you have any other questions about certificates in Fiddler!

Eric Lawrence

Eric Lawrence (@ericlaw) has built websites and web client software since the mid-1990s. After over a decade of working on the web for Microsoft, Eric joined Telerik in October 2012 to enhance the Fiddler Web Debugger on a full-time basis. With his recent move to Austin, Texas, Eric has now lived in the American South, North, West, and East.

Источник

Fiddler 4 Ошибка сертификата в Windows

Я использую Fiddler для мониторинга трафика HTTPS для нашего частного проекта. После обновления до Windows 10 и установки Fiddler я не могу создать корневой сертификат. Я попытался использовать как CertEnroll, так и MakeCert, и оба вернулись, что они не могут создать корневой сертификат:

Ошибка: не удается создать ключ объекта ( «JoeSoft» ) Ошибка

09: 43: 37: 0332/Fiddler.CertMaker > Вызов CertEnroll для темы: CN = DO_NOT_TRUST_FiddlerRoot, O = DO_NOT_TRUST, OU = Создано http://www.fiddler2.com; Тема квартиры: MTA 09: 43: 39: 0853! ОШИБКА: Не удалось создать сертификат с использованием CertEnroll. System.Reflection.TargetInvocationException Исключение выбрано целью вызова. AppData/Roaming/Microsoft/Crypt/RSA/ нигде не найден (папка всегда пуста).
После просмотра форумов я выполнил некоторые инструкции и загрузил Bouncy Castle Certificate Maker (тот, который был предложен для Android), и тот создал 2 корневых сертификата и добавил их в Windows, чтобы им было доверено. После этого весь мой трафик HTTPS выглядел как HTTP с туннелированием. Изучая эту проблему, я обнаружил, что в представлении «Текст» сказано

«Это туннель CONNECT, через который зашифрованы потоки трафика HTTPS. Функция Fiddler HTTPS Decryption включена, но этот туннель был настроен так, чтобы не расшифровываться. Настройки можно найти в меню» Инструменты » > » Параметры Fiddler » > » HTTPS».

И регистратор вернул несколько из следующих действий:

В свойствах туннельного соединения я нашел

«X-HTTPS-DECRYPTION-ERROR: Не удалось найти или создать сертификат перехвата.»

У вас есть решения для меня? Я бы очень признателен. Спасибо!:)

Источник

1. Монтажная часть
1. Загрузите установочный файл, дважды щелкните его, чтобы открыть

2. Примите соглашение, выберите путь установки и согласитесь с установкой, закройте всплывающее окно после завершения установки.


3. Выберите exe-файл и дважды щелкните его, чтобы открыть.

2. Часть конфигурации:
4. Откройте меню настроек Fiddler Tools-Options-general, проверьте, отмечены ли три элемента по умолчанию.

5. Откройте меню конфигурации скрипта Инструменты-Параметры-HTTPS и установите флажок Расшифровать трафик HTTPS.



6. Откройте меню настройки Fiddler Инструменты-Параметры-Подключения. Установите флажок Разрешить удаленным компьютерам подключаться,
После нажатия «ОК» во всплывающем окне нажмите «ОК», чтобы сохранить настройки.

Три, конфигурация прокси-сервера настроек мобильного телефона
1. Мобильный Wi-Fi должен находиться в той же локальной сети.
2. Нажмите Wi-Fi, введите правильный пароль Wi-Fi → отметьте «Показать дополнительные параметры» → прокси выберите «вручную»
Имя хоста сервера: локальный IP-адрес, например: 192.168.1.32 (вы можете ввести ipconfig в cmd, если не знаете I)
Порт: 8888
сохранить конфигурацию

3. Мобильный телефон поставляется с браузером для ввода ip + порт в следующем формате:http://192.168.1.51:8888, Щелкните синий кружок

При появлении запроса: корневой сертификат не найден. Включили ли вы расшифровку трафика HTTPS в Fiddler?
Решение следующее:
Найдите корневой каталог установки Fiddler, например, я установил его прямо по адресу по умолчанию:
Если вы не знаете, как найти корневой каталог, найдите файл, щелкните правой кнопкой мыши «Открыть расположение файла» и скопируйте путь к файлу корневого каталога.


Открыть ввод cmdcd + пробел + адрес корневого каталога (щелкните правой кнопкой мышиВставить) и нажмите Enter, например: cd C: Users Administrator AppData Local Programs Fiddler

Скопируйте следующий абзац:
makecert.exe -r -ss my -n “CN=DO_NOT_TRUST_FiddlerRoot, O=DO_NOT_TRUST, OU=Created by http://www.fiddler2.com” -sky signature -eku 1.3.6.1.5.5.7.3.1 -h 1 -cy authority -a sha1 -m 120 -b 09/05/2012

Вставьте сразу за второй строкой (щелкните правой кнопкой мыши, чтобы вставить) и нажмите Enter, чтобы получить ее

Снова откройте http://192.168.1.51:8888 в браузере (измените свой IP-адрес)
просто скачайте сертификат

Skip to content