Quale CA ha emesso il certificato per https://www.google.com

33

Ho installato Kaspersky Internet Security 2016 sul mio laptop; in Firefox e Edge l'emittente principale è Kaspersky Anti-Virus Personal Root Certificate. ma in chrome l'emittente di root è GeoTrust. a mia conoscenza il certificato CA root è autofirmato da root. in che modo Kaspersky ha cambiato il nome dell'emittente? cambia anche la gerarchia dei certificati in Firefox la gerarchia è:

Kaspersky Anti-Virus Personal Root Certificate
    www.google.com

ma in chrome la Gerarchia è:

GeoTrust Global CA
    Google Internet Authority G2
        *.google.com

Controllo qualche altro sito ma il browser di tutti mi ha mostrato un risultato identico? questo è collegato al certificato Chrome di google che blocca per qualche URL?

    
posta Soheil Ghahremani 03.11.2015 - 19:55
fonte

3 risposte

66

Questo "Certificato radice personale di Kaspersky Anti-Virus" è il segno che il tuo antivirus sta intercettando attivamente la connessione, in effetti eseguendo un Attacco man-in-the-middle . Questo può funzionare perché l'antivirus esegue localmente (sul computer) la propria autorità di certificazione e ha inserito la chiave CA corrispondente nel "negozio fidato" utilizzato dai browser (beh, non tutti, dal momento che apparentemente non l'ha fatto il lavoro per Chrome - come è stato notato da @Neil, a Chrome non piaceva essere ingannato riguardo al certificato di Google). Pertanto, l'anti-virus genera al volo un certificato falso per Google, che inganna i tuoi browser. Il certificato che vedi in Edge o Firefox non è quello che ha inviato il server di Google, ma l'imitazione prodotta localmente sul tuo computer da Kaspersky.

Il software antivirus fa queste cose per essere in grado di ispezionare i dati mentre scorre attraverso SSL, senza dover agganciare in profondità il codice dei browser. Questo è un "attacco MitM onesto".

    
risposta data 03.11.2015 - 20:13
fonte
11

Come sottolineato in altre risposte, il motivo per cui viene visualizzato "Certificato root personale di Kaspersky Anti-Virus" è perché Kaspersky intercetta la connessione per cercare malware.

Ora, la ragione per cui non è il caso dei siti web di Google in Chrome non è legata al blocco dei certificati:

Chrome does not perform pin validation when the certificate chain chains up to a private trust anchor. A key result of this policy is that private trust anchors can be used to proxy (or MITM) connections, even to pinned sites.

(dal Domande frequenti sulla sicurezza di Chromium ).

No, la ragione per cui non è il caso è che i siti web di Google utilizzano il protocollo QUIC in Chrome e Kaspersky non intercetta le connessioni QUIC (ancora).

    
risposta data 04.11.2015 - 17:09
fonte
6

Questo perché Kaspersky installa un certificato CA sul proprio sistema e nei browser comunemente utilizzati per essere in grado di intercettare le connessioni SSL. Questo può essere utile per rilevare il malware.

La seconda gerarchia che hai citato è quella corretta.

    
risposta data 03.11.2015 - 20:13
fonte

Leggi altre domande sui tag