来源:技术分享
整理时间:2026-04-16
标签:#Gemini #登录问题 #HTTPS解密 #MitM #代理 #科学上网 #故障排查
代理工具开启了 HTTPS 解密(MitM)
↓
把 *.googleapis.com 加入了解密列表
↓
Google 服务有证书锁定机制
↓
拒绝第三方证书
↓
连接失败
Google 服务使用 Certificate Pinning(证书锁定):
- 服务器只接受自己签发的证书
- 第三方证书(如代理工具生成的)会被直接拒绝
- 这是安全机制,防止中间人攻击
| 正常流程 | MitM 流程 |
|---|---|
| 客户端 → Google服务器(加密) | 客户端 → 代理工具(解密) |
| 代理工具(重加密)→ Google服务器 | |
| 代理工具持有明文数据 |
代理工具开启 MitM 后会生成自己的证书,但 Google 不认这个证书。
打开你的代理工具,找到 HTTPS 解密 / MitM 设置:
检查主机名列表里是否有:
- *.googleapis.com
- *.google.com
如果有 → 取消勾选这两个域名
在配置文件的 [MITM] 部分添加排除前缀:
[MITM]
hostname = -*.googleapis.com, -*.google.com
修改完后必须重新加载配置,否则不生效!
用浏览器测试能否打开 google.com:
| 结果 | 说明 |
|---|---|
| 能打开 | 节点正常,问题在 MitM 设置 |
| 打不开 | 节点本身有问题,换个节点试试 |
| 工具 | 设置位置 |
|---|---|
| Surge | 配置文件 [MITM] 部分 |
| Clash | 配置文件的 mitm 部分 |
| Stash | 配置文件的 mitm 部分 |
| Quantumult X | HTTPS 解密设置 |
Gemini 登录失败大多是代理工具的 HTTPS 解密导致的,把
*.googleapis.com和*.google.com从 MitM 列表中移除即可解决。
┌─────────────────────────────────────────────────────────┐
│ 正常连接 │
├─────────────────────────────────────────────────────────┤
│ │
│ 客户端 ───────── 加密隧道 ─────────► Google 服务器 │
│ (代理转发) │
│ │
│ Google 证书 → 客户端信任 → 连接成功 ✓ │
│ │
└─────────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────────┐
│ 开启 MitM 后(失败) │
├─────────────────────────────────────────────────────────┤
│ │
│ 客户端 ───► 代理工具(解密)───► Google 服务器 │
│ 生成自己的证书 ✗ │
│ 被 Google 拒绝 │
│ │
└─────────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────────┐
│ 排除域名后(成功) │
├─────────────────────────────────────────────────────────┤
│ │
│ *.googleapis.com │
│ *.google.com │
│ ↓ 不走 MitM,直接加密转发 │
│ │
│ 客户端 ───────── 加密隧道 ─────────► Google 服务器 │
│ │
│ Google 证书 → 客户端信任 → 连接成功 ✓ │
│ │
└─────────────────────────────────────────────────────────┘
本文由 AI 辅助整理,供技术学习参考。