Виходячи з теми усунення несправностей коментарів до ОП, відповідь полягає в тому, щоб встановити лише сертифікат CA проксі як довірений, а не його cert + приватний ключ.
Проблему викликали два фактори:
Встановлення не лише сертифікату CA проксі-сервера MiTM, але і його приватного ключа (таким чином, додатки VPN на пристрої можуть дешифрувати / мережевий трафік MiTM з інших додатків). Вам не потрібен приватний ключ проксі-сервера MiTM на пристрої.
Android Nougat змінює поведінку Settings -> Security -> Install from storage
потоку для файлів, які містять приватний ключ, крім cert (s). Ця зміна поведінки розкрила вищезгадане питання.
Перед Nougat, Settings -> Security -> Install from storage
потік для файлів, що містять приватний ключ, крім certs, помилково встановив certs як довірену для аутентифікації сервера (наприклад, HTTPS, TLS, завдяки чому ваш MiTM є успішним), крім того, що він правильно встановлений як клієнтські серти, що використовуються для аутентифікація цього пристрою Android на серверах. У Nougat помилка була виправлена, і ці сертифікати більше не встановлюються як надійні для автентифікації сервера. Це запобігає впливові облікові дані клієнтів аутентифікації (послаблюють) безпеку з'єднань із серверами. У вашому сценарії це не дозволяє вашому MiTM досягти успіху.
Що ускладнює питання, це те, що Settings -> Security -> Install from storage
він не дає явного способу для користувача визначати, чи встановлює він обліковий запис автентифікації клієнта (приватний ключ + ланцюг cert) або довіру довіри автентифікації сервера (просто сертифікат CA - не потрібен приватний ключ) . Як результат, Settings -> Security -> Install from storage
потік здогадується, чи стосується він клієнт / користувальницький обліковий запис автентифікації або сервер автентифікації довіри, припускаючи, що якщо вказано приватний ключ, він повинен бути обліковим записом автентифікації клієнт / користувач. У вашому випадку помилково припускається, що ви встановлюєте обліковий запис автентифікації клієнта / користувача, а не довіру довіри до автентифікації сервера.
PS Що стосується вашої налаштування мережевої безпеки, ви, ймовірно, повинні налаштувати додаток так само, щоб довіряти «системним» якорям довіри в режимі налагодження (розділ відміни помилок). В іншому випадку налагодження програми не працюватиме, якщо з'єднання не буде MiTM'd проксі-сервером, чий сертифікат CA встановлений як надійний на пристрої Android.
user
в<base-config>
і переконатися, що це має значення. Це не повинно, але для спробування знадобиться лише хвилина.