BurpSuite为什么要配置证书

BurpSuite配置证书，核心是破解HTTPS加密、正常中间人抓包。不配置证书，浏览器报不安全、连不上；配置了证书，解密HTTPS、能看明文、能改包。

为什么必须配置证书

1.HTTPS是加密的

浏览器和服务器之间的通信用TLS/SSL加密，防止窃听、篡改。

没有证书Burp只能看到乱码/密文。

2.Burp是“中间人代理”

浏览器请求Burp。

Burp伪造一张网络证书（用自己的CA签）。

浏览器信任Burp CA，与其建立加密连接。

Burp与真实服务器再建一条HTTPS连接。

流量在Burp内部进行解密、查看，或是修改、重加密，最后再转发。

3.浏览器默认不信任Burp

Burp用自签名根证书，不是 公共CA。不配置证书，浏览器会报不安全、连不上。

证书的核心作用

1.解密HTTPS流量

2.消除浏览器安全警告

3.完整抓包/改包/重放

4.支持APP/小程序抓包

总结：网站现在大多使用HTTPS加密传输数据，浏览器和服务器之间的通信是加密的，BurpSuite作为中间代理如果没有证书，只能看到加密后的乱码，无法查看和修改数据包。配置证书是让电脑和浏览器信任BurpSuite，让它可以正常解密HTTPS流量，实现抓包和改包。