Qué CA emitió el certificado para https://www.google.com

33

Instalé Kaspersky internet Security 2016 en mi computadora portátil; en Firefox y Edge, el emisor raíz es Kaspersky Anti-Virus Personal Root Certificate. pero en Chrome el emisor raíz es GeoTrust. en mi conocimiento, el certificado Root CA está autofirmado por Root. ¿Cómo Kaspersky cambió el nombre del emisor? También cambia la jerarquía de certificados. en Firefox la Jerarquía es:

Kaspersky Anti-Virus Personal Root Certificate
    www.google.com

pero en Chrome la Jerarquía es:

GeoTrust Global CA
    Google Internet Authority G2
        *.google.com

¿Reviso algún otro sitio pero el navegador de todos me mostró un resultado idéntico? ¿Está esto relacionado con la fijación de certificados de Google Chrome para alguna URL?

    
pregunta Soheil Ghahremani 03.11.2015 - 19:55
fuente

3 respuestas

66

Este "Certificado de raíz personal de Kaspersky Anti-Virus" es el signo de que su antivirus está interceptando activamente la conexión, en efecto ejecuta un Ataque Man-in-the-Middle . Esto puede funcionar porque su antivirus ejecuta localmente (en su computadora) su propia autoridad de certificación, e insertó la clave CA correspondiente en la "tienda confiable" utilizada por sus navegadores (bueno, no todos, ya que aparentemente no funcionó). El trabajo para Chrome (como comentó @Neil, a Chrome no le gustaba que lo engañaran con el certificado de Google). Por lo tanto, el antivirus genera sobre la marcha un certificado falso para Google, que engaña a sus navegadores. El certificado que ve en Edge o Firefox no es el que envió el servidor de Google, sino la imitación producida localmente en su computadora por Kaspersky.

El software antivirus hace esas cosas para poder inspeccionar los datos a medida que fluyen a través de SSL, sin tener que conectarse profundamente dentro del código de los navegadores. Este es un "ataque MitM honesto".

    
respondido por el Tom Leek 03.11.2015 - 20:13
fuente
11

Como se señaló en otras respuestas, la razón por la que ve "Kaspersky Anti-Virus Personal Root Certificate" es porque Kaspersky intercepta la conexión para buscar malware.

Ahora, la razón por la que no es el caso de los sitios web de Google en Chrome no está relacionada con la fijación de certificados:

  

Chrome no realiza la validación de pin cuando la cadena de certificados se encadena a un ancla de confianza privada. Un resultado clave de esta política es que los anclajes de confianza privados se pueden usar para conexiones proxy (o MITM), incluso para sitios anclados.

(De Preguntas frecuentes sobre la seguridad de Chromium ).

No, la razón por la que no es así es que los sitios web de Google utilizan el protocolo QUIC en Chrome, y Kaspersky no intercepta conexiones QUIC (todavía).

    
respondido por el user3409662 04.11.2015 - 17:09
fuente
6

Esto se debe a que Kaspersky instala un Certificado de CA en su sistema y en los navegadores más utilizados para poder interceptar conexiones SSL. Esto puede ser útil para detectar malware.

La segunda jerarquía que has citado es la correcta.

    
respondido por el davidb 03.11.2015 - 20:13
fuente

Lea otras preguntas en las etiquetas