Se desideri eseguire la scansione del traffico HTTPS per trovare malware, devi decrittografarlo. Avast raggiunge questo risultato installando il proprio certificato di root per intercettare localmente il traffico web, fungendo da man-in-the-middle.
(Avast ha un post di blog che spiega il loro approccio. )
Is the method they (let's say Avast as an example) use secure?
Il principale problema di sicurezza emergente è che chiunque conosca la chiave privata per il certificato radice generato può crittografare il tuo traffico. Ecco perché ne creano uno unico per ogni macchina e non lo inviano da nessun'altra parte:
We want to emphasize that no one else has the same unique key that you have from the installation generated certificate. This certificate never leaves the computer and is never transmitted over the internet.
Questa è una buona pratica e in teoria garantisce che non possono facilmente tracciare con il tuo ISP per decodificare il tuo traffico da remoto. Inoltre, tutti i certificati verranno comunque controllati rispetto all'archivio certificati Windows locale, pertanto un certificato autofirmato verrà identificato come tale e non sarà "coperto" dal certificato radice di Avast e verrà visualizzato come attendibile.
Un altro problema di sicurezza di cui bisogna essere a conoscenza è che non è più possibile ispezionare i dettagli del certificato originale nel browser. Puoi essere certo che è verificato ma le proprietà visualizzate (dettagli dell'autorità, algoritmi di crittografia, ...) saranno quelle del certificato Avast, non quelle originali.
Should HTTPS connections really be scanned?
Se pensi che il traffico HTTP debba essere ispezionato, dovrebbe esserlo anche HTTPS. HTTPS protegge la connessione, non verifica che il proprietario del sito web abbia buone intenzioni e il suo sito non sia stato compromesso.
is the probability of getting such malware from an HTTPS secured website high enough to enable this feature?
Soggettivamente, direi che la maggior parte del malware viene ancora pubblicata su un semplice HTTP. Ma con provider di certificati gratuiti come Let's encrypt non è molto difficile per un avversario passare a HTTPS. La pubblicazione di malware su HTTPS presenta alcuni vantaggi per l'utente malintenzionato: il lucchetto lo rende più legittimo ed è più difficile da ispezionare. Il malware su HTTPS diventerà sicuramente più probabile in futuro.
Nota inoltre che esistono altri approcci meno invasivi per proteggerti da siti Web dannosi come Navigazione sicura di Google .