go get https 报错怎么排查？（GOPROXY、证书错误、代理与抓包）

在中国大陆或企业网络里，go get 拉取模块时遇到 HTTPS 错误非常常见：超时、证书验证失败、TLS 握手中断或直接 403/404。本文面向开发者，按实战流程讲清常见原因、逐步排查命令以及可落地的解决方案，同时把抓包与分析工具自然融入到排查链路（包括 Charles/mitmproxy/openssl），在必要时如何使用 抓包大师（Sniffmaster） 做更底层的流量取证与定位。

一、先搞清错误现象（复现与记录）

遇到 go get 报错，先把错误整段复制并做两件事：

1. 在命令行加 GODEBUG=x509ignore=0（视 Go 版本而定）或直接运行 go env -w GOPROXY=direct 后重试，确认是模块代理问题还是 TLS 层问题；
2. 用 curl -v https://<module-host>/... 或 openssl s_client -connect host:443 -servername host 看底层 TLS、证书链和 SNI 是否正常。这一步很关键：若 curl/openssl 也失败，说明不是 go 的问题，而是网络/证书或代理层在拦截。

二、常见原因与对应策略

• 公司/校园代理拦截或替换证书：企业内网常做 HTTPS 中间人，需要把代理 CA 导入系统信任。用浏览器访问目标域名看证书颁发者可快速判断。
• GOPROXY / GOSUMDB 策略：国内网环境建议临时 go env -w GOPROXY=https://goproxy.cn,direct；如果模块来自私有仓库，需配置 GONOSUMDB/GOPRIVATE。
• Git 协议与子模块问题：go get 可能最终用 git 拉取，如果是 git 的证书错误，可临时 GIT_SSL_NO_VERIFY=true 检测，但不要长期使用。
• 证书链不完整或中间证书失效：用 openssl s_client 检查 server 返回的证书链，若缺中间证书需联系服务方或在本地补链。

三、逐步排查流程（工程化）

1. go env -w GOPROXY=direct：绕开模块代理，判断问题是否出在代理。
2. curl -v / openssl s_client -connect host:443 -servername host：确认 TLS 握手与证书链。
3. 若 TLS 被替换或证书不被信任：在开发机/CI 里将中间 CA 导入系统信任或为 CI 配置正确的证书文件。
4. 若是企业透明代理导致的协议不兼容，尝试在非企业网络（手机热点）复现，或在抓包机上用 tcpdump + Wireshark 进一步确认。
5. 对于私有仓库模块：设置 GOPRIVATE=your.domain/* 与对应 GONOSUMDB，并保证凭据（SSH key / HTTP basic）可用。

四、抓包与定位技巧（必备命令与工具）

• 用 openssl s_client -connect host:443 -servername host -showcerts 查看证书链与 OCSP 响应。
• curl -v --proxy http://proxy:port https://host/... 用以验证代理影响。
• 在遇到难以解释的 TLS 中间人或分流时，用 Charles / mitmproxy 在本机做代理调试；在企业网络或移动设备上若代理配置复杂、或需要抓真实设备请求流量，可使用 抓包大师（Sniffmaster） USB 直连真机导出 pcap —— 它能在不依赖系统代理或安装证书的情况下捕获网络流量，帮助判断是网络透明代理替换了证书、还是请求被路由到公司安全设备。
• 最后把 PCAP 导入 Wireshark，过滤 ssl.handshake 或 tls.handshake.type == 1（ClientHello）来查看 SNI、支持的 cipher、以及服务器返回的证书信息。

五、常见快速修复清单

• 临时：go env -w GOPROXY=https://goproxy.cn,direct；临时在 CI 中使用 GIT_SSL_NO_VERIFY=true 仅作排查。
• 永久：向运维申请把企业内部 CA 加入可信根，或在私有模块场景配置 GOPRIVATE 并使用私有模块代理。
• 若确定是证书链问题，请求服务方补全中间证书，或本地导入缺失的中间证书（仅测试环境）。

六、案例回顾（一个实战片段）

公司 CI 在 go get 时总报证书链错误。排查时 curl 也失败，openssl 显示颁发者是企业网关自签 CA。通过 Sniffmaster 抓取 CI 机器的网络流量（在无法直接访问 CI 网络时，把开发机连上同一网段复制流量路径）并在 Wireshark 中确认，最终决定向运维申请把网关 CA 安装到 CI 容器中，问题解决。