Sur la base du fil de dépannage des commentaires pour l'OP, la réponse est d'installer uniquement le certificat CA du proxy comme étant approuvé, et non son certificat + clé privée.
Le problème était dû à deux facteurs:
Installer non seulement le certificat CA du proxy MiTM, mais également sa clé privée (permettant ainsi aux applications VPN sur l'appareil de décrypter le trafic réseau / MiTM à partir d'autres applications). Vous n'avez pas besoin de la clé privée du proxy MiTM sur l'appareil.
Android Nougat changement de comportement du Settings -> Security -> Install from storage
flux pour les fichiers qui contiennent une clé privée en plus des cert (s). Ce changement de comportement a démasqué le problème ci-dessus.
Avant Nougat, le Settings -> Security -> Install from storage
flux des fichiers contenant une clé privée en plus des certificats installait à tort les certificats comme étant fiables pour l'authentification du serveur (par exemple, HTTPS, TLS, faisant ainsi réussir votre MiTM), en plus d'être correctement installé en tant que certificats client utilisés pour authentifier cet appareil Android auprès des serveurs. Dans Nougat, le bogue a été corrigé et ces certificats ne sont plus installés comme approuvés pour l'authentification du serveur. Cela empêche les informations d'authentification client d'affecter (d'affaiblir) la sécurité des connexions aux serveurs. Dans votre scénario, cela empêche votre MiTM de réussir.
Ce qui complique les choses, c'est que le Settings -> Security -> Install from storage
ne fournit pas un moyen explicite à l'utilisateur de spécifier s'il installe un justificatif d'authentification client (clé privée + chaîne de certificats) ou une ancre de confiance d'authentification serveur (juste un certificat CA - aucune clé privée nécessaire) . En conséquence, le Settings -> Security -> Install from storage
flux devine s'il s'agit d'informations d'identification d'authentification client / utilisateur ou d'ancre d'approbation d'authentification serveur en supposant que, si une clé privée est spécifiée, il doit s'agir d'informations d'identification d'authentification client / utilisateur. Dans votre cas, il a supposé à tort que vous installez une information d'identification d'authentification client / utilisateur plutôt qu'une ancre d'approbation d'authentification de serveur.
PS En ce qui concerne votre configuration de sécurité réseau, vous devriez probablement configurer l'application pour qu'elle fasse également confiance aux ancres de confiance "système" en mode débogage (section debug-overrides). Sinon, les versions de débogage de l'application ne fonctionneront pas à moins que les connexions ne soient effectuées par un proxy dont le certificat CA est installé comme approuvé sur l'appareil Android.
user
ci dans le<base-config>
et voyez si cela change. Cela ne devrait pas, mais cela ne prendra qu'un moment pour essayer.