Mi empresa ofrece un producto que utiliza un certificado web personal (pfx) como un medio secundario para verificar el inicio de sesión del usuario (o más precisamente, la computadora). La mayoría de las veces, esto funciona sin problema. Sin embargo, en los últimos meses ha habido un aumento en el número de casos en que un Antivirus, como Kaspersky, utiliza una función que analiza las conexiones cifradas, y esto hace que no se permita la entrada del usuario.
Nuestros servidores muestran que estos usuarios no presentan su certificado. Si los guío a través de la inhabilitación total del escaneo HTTPS, se les permitirá ingresar de inmediato (el servidor ahora "ve" el certificado del usuario). Entiendo que estos programas antivirus usan su propio certificado, y esto tiende a evitar que el usuario vea el certificado del sitio. Sin embargo, ¿es este también el caso del servidor?
Supongo que mi post / pregunta aquí es doble. ¿Los programas antivirus evitan que los usuarios utilicen sus propios certificados como medios de autenticación para los sitios web cuando esta función está habilitada y, en segundo lugar, además de deshabilitar completamente la función para cada cliente que llama a ? , bajo las estrictas directrices de HIPAA y / o FCRA, no me siento cómodo al fomentar la desactivación de cualquier medida de seguridad) , ¿hay alguna otra forma, ya sea en el desarrollo de nuestro producto o en el soporte? ¿De los clientes, para sortear esta importante barricada?
Tengo una reunión el lunes donde discuto mis hallazgos y agradecería cualquier comentario disponible.
Nota de cortesía: He hecho todo lo posible por ofrecer la mayor cantidad de información posible sin violar la confidencialidad. Respete esto y no intente adivinar la compañía para la que estoy trabajando. Gracias.