Avast 的 HTTPS 扫描器如何工作？

Question

通常，此类扫描器的工作方式与代理或中间人攻击相同：它们使所有连接都经过本地运行的“代理”进程，该进程就浏览器而言充当服务器，但在与实际的web 服务器，因此解密并重新加密所有 HTTPS 连接。这样，无论使用哪种浏览器，都可以扫描连接。

此类扫描仪通过在您的系统中安装自定义的本地生成的 CA 证书并自动为您访问的每个网站颁发临时证书来避免证书警告。您的文章证实了这一点，并提到 Avast 破坏了 Firefox 的附加组件更新，这意味着 Firefox 看到的证书来自错误的颁发者，而不是它所期望的。

当然这有很多的缺点：它破坏了 CA 固定（如 Firefox 示例）或证书指纹固定等安全功能；它向浏览器（和用户）隐藏了实际的证书信息；它依赖 Avast 来正确验证服务器的证书（我个人是这样做的不是相信 Avast 能够正确执行此操作）；它可能会隐藏对等方支持的实际 TLS 功能（例如 ALPN），从而迫使浏览器和服务器使用 Avast 代理也支持的（通常已过时的）功能集……

Answer 1

通常，此类扫描器的工作方式与代理或中间人攻击相同：它们使所有连接都经过本地运行的“代理”进程，该进程就浏览器而言充当服务器，但在与实际的web 服务器，因此解密并重新加密所有 HTTPS 连接。这样，无论使用哪种浏览器，都可以扫描连接。

此类扫描仪通过在您的系统中安装自定义的本地生成的 CA 证书并自动为您访问的每个网站颁发临时证书来避免证书警告。您的文章证实了这一点，并提到 Avast 破坏了 Firefox 的附加组件更新，这意味着 Firefox 看到的证书来自错误的颁发者，而不是它所期望的。

当然这有很多的缺点：它破坏了 CA 固定（如 Firefox 示例）或证书指纹固定等安全功能；它向浏览器（和用户）隐藏了实际的证书信息；它依赖 Avast 来正确验证服务器的证书（我个人是这样做的不是相信 Avast 能够正确执行此操作）；它可能会隐藏对等方支持的实际 TLS 功能（例如 ALPN），从而迫使浏览器和服务器使用 Avast 代理也支持的（通常已过时的）功能集……

Avast 的 HTTPS 扫描器如何工作？

答案1

相关内容