Errore SSL Handshake quando l'antivirus è abilitato

Question

Errore SSL Handshake quando l'antivirus è abilitato

#1 da (4 voti)
#2 da (2 voti)

5

Questo è un problema correlato agli errori di handshake SSL quando un anti-virus (Kaspersky) è in mezzo.

Da WireShark, sono in grado di notare che l'handshake SSL ha avuto esito positivo (cioè verso il client finale che invia "Scambio chiavi client, Specificare cifrario, Messaggio crittografato di handshake" e il server risponde con "Modifica specificazione cifrario, messaggio crittografato di handshake". Dopo questo il client avvia una FIN e chiude la connessione.

Ma quando il mio antivirus è disattivato o se disattivo l'impostazione "Scansione connessioni crittografate" in Kaspersky, potrei vedere che le connessioni SSL del client sono tutte riuscite e il client è in grado di inviare dati.

Sarei grato se qualcuno potesse spiegare questo comportamento e come evitarlo senza modificare le impostazioni anti-virus dei miei clienti.

tls antivirus

posta Arun Velayudhan 28.07.2015 - 14:52

fonte

2 risposte

Leggi altre domande sui tag tls antivirus

spoofing dell'indirizzo IP su internet Stalking e molestie [chiuso]

score 4 · Answer 1

Seleziona l'opzione "Scansione connessioni crittografate"

Sembra che Kaspersky abbia intercettazione SSL (Man in the Middle).

Kaspersky KB voce 6851: Scansione connessione SSL da Kaspersky Anti-Virus versione 6.0.4.x (archiviato here .)

I would appreciate if someone could explain this behavior

Alcuni client potrebbero utilizzare il blocco dei certificati. E quelli non possono essere facilmente man-in-the-middled utilizzando un certificato diverso. Prova a disattivare l'intercettazione SSL.

(Per favore dimmi che clienti sono! Sono curioso.)

Da Blocco dei certificati :

One way to detect and block many kinds of MITM attacks is "certificate pinning", sometimes called "SSL pinning" but more accurately called "public key pinning".[229] A client that does key pinning adds an extra step beyond the normal X.509 certificate validation: After obtaining the server's certificate in the standard way, the client checks the public key(s) in the server's certificate chain against a set of (hashes of) public keys for the server name. Typically the public key hashes are bundled with the application.

Giusto per chiarire, questo non è un attacco. L'uomo nel mezzo eseguito da Kasperky viene utilizzato per analizzare il traffico HTTP per dati Web dannosi. Questo è ciò che intendono con Scansione connessioni crittografate .

how I can bypass this without changing my customer's anti-virus settings

Non so se è possibile. Dipende dal software client. Google Chrome, ad esempio, non impone i pin per le CA aggiunte localmente. (Archiviato qui .) Questo è esplicitamente pensato per consentire l'intercettazione SSL / TLS. Alcuni altri software client potrebbero non essere così indulgenti.

Ulteriori letture

Sec-SE: connessione protetta di Kaspersky Antivirus scansione "rotto come Superfish?
Hanno Böck, 24-04-2015, Come Kaspersky ti rende vulnerabile all'attacco FREAK e altri modi Il software antivirus riduce la sicurezza HTTPS (Archiviato qui )

score 2 · Answer 2

Questo è l'effetto della protezione della "sicurezza di navigazione sicura" dei produttori di antivirus, che intercetta tutto il traffico HTTPS (dovrebbe essere tecnicamente un'intercettazione TLS). Fungono da provider "fidato" (nel caso di HTTPS) e agiscono come un proxy che intercetta tutte le richieste del browser - sia HTTP che HTTPS, controllando se i siti web visitati pubblicano contenuti dannosi.

Contro i meriti di sicurezza di questo tipo di comportamento e in passato ho disattivato il tipo di "protezione sicura" dei componenti o dei moduli di protezione antivirus.

Ecco un interessante (e informativo) articolo su come questo Il comportamento di intercettazione HTTPS può compromettere la sicurezza.