La mia azienda offre un prodotto che utilizza un certificato Web personale (pfx) come mezzo secondario per verificare l'accesso dell'utente (o, più precisamente, il computer). Il più delle volte, questo funziona senza problemi. Tuttavia, negli ultimi mesi c'è stato un aumento del numero di casi in cui un antivirus, come Kaspersky, utilizza una funzione che esegue la scansione delle connessioni crittografate e questo porta all'utente a non essere autorizzato.
I nostri server mostrano che questi utenti non presentano il loro certificato. Se li inoltro a titolo definitivo disabilitando la scansione HTTPS, verranno immediatamente lasciati entrare (il server ora "vede" il certificato dell'utente). Comprendo che questi programmi antivirus utilizzano il proprio certificato e questo tende a impedire all'utente di vedere il certificato del sito. Tuttavia, è così anche per il server?
Credo che il mio post / domanda qui sia duplice. I programmi antivirus impediscono agli utenti di utilizzare i propri certificati come autenticazione per i siti Web quando questa funzione è abilitata e, in secondo luogo, oltre a disabilitare completamente la funzionalità per ogni cliente che chiama in (nota, questi clienti sono aziende piccole-grandi , in base alle rigide linee guida HIPAA e / o FCRA, non mi sento a mio agio nell'incoraggiare la disabilitazione di qualsiasi misura di sicurezza) , c'è un altro modo, sia nello sviluppo del nostro prodotto, sia nel supporto dei clienti, per aggirare questo importante ostacolo?
Ho un incontro lunedì in cui discuto le mie conclusioni e apprezzerei molto qualsiasi feedback disponibile.
Nota di cortesia: ho fatto del mio meglio per offrire quante più informazioni possibili senza violare la riservatezza. Si prega di rispettare questo, e non tentare di indovinare la società per cui lavoro. Grazie.