In che modo ESET antivirus filtra il traffico SSL / TLS del browser?

3

Oggi ho ricevuto una chiamata da parte dell'utente finale che utilizza Windows 10 quando accede al sito https del nostro server web all'interno del segnalibro del browser Firefox con il seguente errore:

www.example.com uses an invalid security certificate
The certificate is not trusted because no issuer chain was provided.    
Error code: sec_error_unknown_issuer

Ho faticato a scoprire l'interferenza del programma antivirus ESET con la comunicazione SSL / TLS. Ho disabilitato il filtraggio del protocollo SSL / TLS nel programma ESET seguendo le istruzioni ufficiali: link Dopo aver disattivato il filtro SSL / TLS nel browser antivirus di Firefox è possibile accedi al sito https senza alcun problema (non c'è niente di sbagliato con il certificato o la catena di certificati).

Sembra che l'antivirus stia cercando di entrare nel traffico SSL / TLS crittografato per scoprire se c'è qualche programma dannoso al suo interno e se tenta di bloccarlo.

Cosa vorrei sapere in che modo l'antivirus intercetta davvero il traffico SSL / TLS dal punto di vista tecnico?

a) Prova a eseguire un attacco MiTM su SSL / TLS?

b) Cerca il processo del browser Firefox e guarda nella sua memoria?

Qualcos'altro? Alcune spiegazioni tecniche sarebbero grandiose.

A proposito, su questo web server c'è solo 443 porte con protocollo https abilitato, la porta 80 con protocollo http è disabilitata. Grazie

    
posta folow 18.08.2016 - 12:54
fonte

1 risposta

2

Tries to executed MiTM attack on SSL/TLS?

Sì, è così. Antivirus e Firewall eseguono l'ispezione SSL essendo un utente centrale nella connessione SSL. Poiché ciò provoca avvisi nel browser di emittenti sconosciuti, di solito distribuiscono anche la CA proxy come attendibile nel sistema operativo e nei browser.

Per una spiegazione tecnica più approfondita, vedi le molte domande su questo argomento su questo sito, come Un proxy di intercettazione TLS presenta il browser dell'utente con il certificato del server finale? o Perché è 'avast! Web / Mail Shield Root "elencato come CA per google.com?

    
risposta data 18.08.2016 - 13:20
fonte

Leggi altre domande sui tag