Fallo de protocolo de enlace SSL cuando el antivirus está habilitado

Navega tus respuestas
5

Este es un problema relacionado con las fallas de protocolo de enlace SSL cuando hay un antivirus (Kaspersky) en medio.

Desde WireShark, puedo notar que el protocolo SSL fue exitoso (es decir, hacia el cliente final enviando "Intercambio de claves del cliente, Cambiar espec. de cifrado, Mensaje de protocolo cifrado" y el servidor respondiendo con "Cambiar especificación de cifrado, Mensaje de protocolo cifrado". Después de esto, el cliente inicia un FIN y cierra la conexión.

Pero cuando mi antivirus está desactivado o si inhabilito la configuración "Explorar conexiones cifradas" en Kaspersky, puedo ver que las conexiones SSL del cliente son todas correctas y el cliente puede enviar datos.

Apreciaría si alguien pudiera explicar este comportamiento y cómo puedo evitarlo sin cambiar la configuración de antivirus de mi cliente.

    
pregunta Arun Velayudhan 28.07.2015 - 14:52
fuente

2 respuestas

4

Marque la opción "Escanear conexiones encriptadas"

Parece que Kaspersky hace la intercepción SSL (Man in the Middle).

  

Apreciaría si alguien pudiera explicar este comportamiento

Algunos clientes pueden usar la fijación de certificados. Y esos no pueden ser fácilmente Man-in-the-middled usando un certificado diferente. Intenta desactivar la intercepción SSL.

(¡Por favor, dime qué son estos clientes! Tengo curiosidad.)

De Fijación de certificados :

  

Una forma de detectar y bloquear muchos tipos de ataques MITM es el "certificado   pinning ", a veces llamado" SSL pinning "pero más precisamente llamado   "fijación de clave pública". [229] Un cliente que hace la fijación de claves agrega un   paso adicional más allá de la validación normal del certificado X.509: después   Obteniendo el certificado del servidor de forma estándar, el cliente.   comprueba la (s) clave (s) pública (s) en la cadena de certificados del servidor contra una   conjunto de (hashes de) claves públicas para el nombre del servidor. Tipicamente el   los hashes de clave pública se incluyen en la aplicación.

Solo para aclarar, esto no es un ataque. El hombre en el medio realizado por Kasperky se usa para escanear el tráfico HTTP en busca de datos web maliciosos. Esto es lo que quieren decir con Escanear conexiones cifradas .

  

cómo puedo evitar esto sin cambiar la configuración antivirus de mi cliente

No sé si esto es posible. Depende del software cliente. Google Chrome, por ejemplo, no aplicará los pines para las CA agregadas localmente. (Archivado aquí .) Esto está explícitamente pensado para permitir la intercepción SSL / TLS. Es posible que algún otro software de cliente no sea tan indulgente.

Lectura adicional

respondido por el StackzOfZtuff 28.07.2015 - 15:23
fuente
2

Ese es el efecto de la protección de "navegación segura" de la mayoría de los proveedores de antivirus, que intercepta todo el tráfico HTTPS (debería ser técnicamente una intercepción TLS). Actúan como un proveedor "confiable" (en el caso de HTTPS) y actúan como un proxy para interceptar todas las solicitudes del navegador, tanto HTTP como HTTPS, y verifican si los sitios web visitados tienen contenido malicioso.

Disputaría los méritos de seguridad de este tipo de comportamiento, y en el pasado había deshabilitado el tipo de "navegación segura" de componentes o módulos de protección antivirus.

Aquí hay un artículo interesante (e informativo) sobre cómo esto El comportamiento de intercepción de HTTPS puede comprometer su seguridad.

    
respondido por el Milen 28.07.2015 - 15:35
fuente

Lea otras preguntas en las etiquetas

Acoso y hostigamiento [cerrado] ¿Puede un sitio web tener varios certificados TLS válidos en bucle a múltiples CA raíz en caso de que uno de ellos esté comprometido?