我用来更新 Windows 11 上所有应用程序的工具wingetUI最近抛出了以下错误:
0x8a15005e : The server certificate did not match any of the expected values.
并且它没有按照预期更新所选的应用程序。
事实证明,我的卡巴斯基保护是这个问题的根源。我必须禁用每一个卡巴斯基保护功能,以便 WingetUI 正常工作。我已经尝试切换启用的卡巴斯基功能并分别重新启动 PC,但没有任何改变。
正如一条评论所说,卡巴斯基的问题一定是由于卡巴斯基注入了自己的证书。这可能是因为 winget 查询是通过我自己电脑上的卡巴斯基服务器路由的,以便卡巴斯基软件对其进行监督。总之,wingetUI 获得了卡巴斯基保护的服务器证书,该证书与相应应用程序的服务器证书不匹配,并抛出了错误消息。
不幸的是,这个问题也适用于我非常喜欢使用的卡巴斯基保护功能,而这些功能实际上并不监控 winget 等连接,例如卡巴斯基安全支付。总之,我必须等待卡巴斯基保护推送“保护处于离线状态”的消息,这表明每个卡巴斯基保护功能都处于离线状态,wingetUI 才能正常工作。
这个问题首先出现在我启用了比以前更多的卡巴斯基保护功能时。从那时起,即使我只启用了一个随机的卡巴斯基保护功能,问题似乎也会出现,就像我上面描述的一样。
不幸的是,我不记得我启用了哪些关键的卡巴斯基保护功能导致了这个问题。然而,这个问题似乎是不可逆转的。所以只要以任何方式启用卡巴斯基保护,它似乎就会操纵预期的服务器证书。
有可能,问题实际上不是由于我除了现有功能之外还启用了卡巴斯基保护功能,而是由于同一时期的卡巴斯基保护或 WingetUI 更新。但是,我发现这种情况不太可能发生。
我接下来要尝试的是:
- 尝试在启用卡巴斯基保护的情况下,winget 是否能在 shell 中正常工作,因此这可能是 winget 独有的问题用户界面
- 尝试启用所有卡巴斯基保护功能,但添加 wingetUI 作为例外
答案1
我找到了问题所在。简单方法:为了让卡巴斯基和 wingetUI 同时工作,您必须转到(可能我翻译的不是 100% 像卡巴斯基 UI 那样)“卡巴斯基保护”->“网络设置”,并在“加密连接监管”标题下禁用“始终检查加密连接”。例如,您可以将其切换为“根据保护组件的请求检查加密连接”,这是默认设置。您可以按照最高安全标准运行所有其他卡巴斯基保护功能,但必须禁用“始终检查加密连接”。
你也可以尝试@Cpt.Whale 建议的证书锁定方法。这种方法的好处显然是你仍然可以随时使用卡巴斯基保护检查加密连接。
答案2
我发现 winget 最近推出了证书锁定对于 Windows Store 源,因此即使您的计算机信任 Kaspersky,它也不会允许 SSL 检查。您可以使用以下任一方式为 winget 禁用此功能:
- 在 Windows 域中,使用ADMX 模板如果您需要在多台机器上执行此操作,则可以通过组策略应用此设置。
- 如果你只是需要这个在你的机器上运行,请使用 regedit
EnableBypassCertificatePinningForMicrosoftStore在路径上创建一个名为值为 1 的DWORDHKLM:\Software\Policies\Microsoft\Windows\AppInstaller
请注意,此信息仅截至上述 PR 为止为最新信息,可能会发生变化。每#2879