In che modo il mio antivirus determina quale CTL viene utilizzato?

Question

In che modo il mio antivirus determina quale CTL viene utilizzato?

#1 da (2 voti)

4

Ho importato un certificato radice attendibile nell'elenco dei computer locali di Windows. Funziona perfettamente con i miei certificati firmati, a meno che il mio AV (Bitdefender Antivirus Plus 2012) sia impostato su "scan SSL", nel qual caso i miei certificati sono contrassegnati come non attendibili.

Posso disattivare manualmente la scansione SSL, o aggiungere il mio certificato al CTL che usano per mitm, o firmare i miei certificati con il loro falso certificato e chiave di root. Nessuna di queste opzioni è utile se voglio distribuire la mia applicazione agli utenti remoti che potrebbero utilizzare altri AV

L'AV ha il suo CTL a cui non ho aggiunto il mio certificato di root, quindi mi chiedo come l'AV possa consentire al browser / sistema operativo di utilizzare questo CTL alternativo e questo può essere sovrascritto?

encryption network tls certificates antivirus

posta Philip Langford 16.08.2012 - 16:53

fonte

1 risposta

Leggi altre domande sui tag encryption network tls certificates antivirus

AES Strategia di generazione di chiavi / Algoritmo per il sistema offline Cosa fare dopo per questo possibile overflow del buffer?

score 2 · Accepted Answer

La mia comprensione di questo dall'utilizzo di Fiddler 2 è che l'AV dovrebbe funzionare come proxy. Pertanto, agirà come client per il sito Web richiesto e tutte le pagine SSL saranno firmate dal certificato del software antivirus al volo per renderlo valido. Molto probabilmente, nel caso in cui il software A / V non si fidi della fonte, non applica un certificato SSL valido tramite il proprio trust per consentire il trasferimento delle informazioni al browser. Poiché il tuo trust SSL valido è stato rimosso dal proxy (poiché il proxy non è in realtà il tuo server), la connessione sembra non essere valida.

Spetterebbe al software AV di ogni cliente rispettare il certificato di fiducia e non esiste alcun modo per gestirlo in senso generale se non ottenere un certificato di firma di root o di dominio da una CA attendibile che sarebbe più probabilmente sarà considerato valido dalla maggior parte dei software AV.