Отключить замену даты действительности SSL сертификата

[anton4ik_1988]

Здравствуйте!

Использую Total Security 18.0.0.405. При нажатии в браузере на замочек (Firefox) мне в данных о сертификате показывает, что сертификат действителен с 2007 по 2027 год. Скрин

Как отключить эту подмену и показывать настоящую дату начала и окончания действия сертификата?

Edited October 3, 2017 by anton4ik_1988

[kmscom]

Это сертификат Лаборатории, он используется для проверки защищенных соединений.

Отключите проверку защищенных соединений

[Денис-НН]

Это настоящая дата начала и окончания действия этого сертификата.
 

[anton4ik_1988]

2 часа назад, Денис-НН сказал:

Это настоящая дата начала и окончания действия этого сертификата.
 

Хм, странно, sslanalyzer.comodoca.com показывает срок действия с 08 Dec 2016 00:00:00 GMT по 11 Jan 2018 23:59:59 GMT, да и центр выдачи thawte, Inc., а не AO Kaspersky Lab.

2 часа назад, kmscom сказал:

Это сертификат Лаборатории, он используется для проверки защищенных соединений.

Отключите проверку защищенных соединений

Спасибо! Завтра проверю данную настройку.
Однако я заметил, что эта проверка работает как-то странно. Когда первый раз посещаешь сайт, то сертификат как бы выдан каспером и даты те, как в первом сообщении. Но через время появляются реальные данные даты и центра сертификации. Вот пример

[Денис-НН]

6 минут назад, anton4ik_1988 сказал:

Хм, странно, sslanalyzer.comodoca.com показывает срок действия с 08 Dec 2016 00:00:00 GMT по 11 Jan 2018 23:59:59 GMT, да и центр выдачи thawte, Inc., а не AO Kaspersky Lab.

Вы дали ссылку на сертификат сайта, а на скриншоте сертификат программы установленной на вашем компьютере. Этот сертификат, как уже сказано выше, используется для расшифровки и проверки трафика.

[new kis user 2012]

Какие бывают все-таки дотошные и внимательные пользователи, которые заглядывают туда куда вообщем-то не следует и куда большинство пользователей даже и не заходит.

[anton4ik_1988]

21 час назад, kmscom сказал:

Это сертификат Лаборатории, он используется для проверки защищенных соединений.

Отключите проверку защищенных соединений

Да, это работает, Спасибо! "Дополнительно / Сеть / Не проверять защищённые соединения".

19 часов назад, Денис-НН сказал:

Вы дали ссылку на сертификат сайта, а на скриншоте сертификат программы установленной на вашем компьютере. Этот сертификат, как уже сказано выше, используется для расшифровки и проверки трафика.

Не совсем понимаю, как такое возможно, потому что исходя из Ваших слов (используется для расшифровки) на сайте forum.kaspersky.com установлен сертификат AO Kaspersky Lab, а не Thawte?
Это сам каспер делает подмену, причём я более чем уверен такого сертификата не сущетсвует - это простая подмена данных для отображения пользователю. Но я не знаю такого центра сертификации, как AO Kaspersky Lab.

И сегодня уже новые данные даты начала и даты конца этого сертификата. Т.е. сегодня каспер уже перевыпустил сертификат? Зачем, если срок годности до 27 года? Это больше похоже на простую замену даты +1 к каждому дню - не более)

2 часа назад, new kis user 2012 сказал:

Какие бывают все-таки дотошные и внимательные пользователи, которые заглядывают туда куда вообщем-то не следует и куда большинство пользователей даже и не заходит.

Бывает пользователям просто интересно, почему программа показывает не ту информацию, которая должна быть. И когда, например, я это вижу, то я предполагаю, что программа работает неправильно. Ведь даже сам каспер не гарантирует защиту от вирусов, которых нет в базе каспера. Т.е. это может быть и вирусняк, которые переводит меня на другой сайт и показывает мне левый сертификат с супер датами в 20 лет. Вот в чём беда.

Edited October 4, 2017 by anton4ik_1988
неправильно повествование)

[regist]

@anton4ik_1988 для того чтобы проверить https соедениения, касперский пропускает их через себя и дополнительно подписывается своим сертфикатом. То есть это не центр сертификации, а всего лишь посредник который дополнительно перепроверяет надёжность соединения.

 

[Денис-НН]

Удобнее смотреть сертификаты не на этом форуме где можно запутаться в названиях а на стороннем сайте. Там видно дерево сертификатов, и в качестве корневого виден сертификат Kaspersky Anti-Virus Personal Root Certificate    Это реальный сертификат и он находится на вашем компьютере в локальном хранилище сертификатов.    Копия его находится по пути  C:\ProgramData\Kaspersky Lab\AVP18.0.0\Data\Cert.

На основе этого сертификата выдаётся сертификат для сайта и вот он может иметь разные даты создания.

 

1 час назад, anton4ik_1988 сказал:

Но я не знаю такого центра сертификации, как AO Kaspersky Lab

 Тем не менее для проверки трафика такой центр установлен.
 

[new kis user 2012]

2 часа назад, anton4ik_1988 сказал:

Да, это работает, Спасибо! "Дополнительно / Сеть / Не проверять защищённые соединения".

На здоровье, только теперь у Вас трафик защищенных соединений никак не проверяется антивирусом, это гораздо более опасно чем какие-то сертификаты и их даты.

[anton4ik_1988]

20 часов назад, Денис-НН сказал:

На основе этого сертификата выдаётся сертификат для сайта и вот он может иметь разные даты создания.

 Тем не менее для проверки трафика такой центр установлен.
 

Может я не совсем разбираюсь в том, как работает SSL/TLS, однако этот сертификат от касперского не имеет никакого смысла. Потому что браузер использует ТОЛЬКО сертификат, полученный в момент установки https соединения и никакой другой. Ибо из сказанного Вами получается, что сертификатом от каспера можно расшифровать любой трафик.
Всё равно не понимаю, как данная "проверка трафика" спасает от вредоносных сайтов использующих самоподписные сертификаты или сертификаты, выданные не зарегистрированными центрами сертификации.

[Денис-НН]

Антивирус использует системные сертификаты для расшифровки трафика, затем проверяет его,  повторно шифрует своим сертификатом и передаёт в браузер. Поэтому в браузере вы  видите сертификат от ЛК.

 

Цитата

Всё равно не понимаю, как данная "проверка трафика" спасает от вредоносных сайтов использующих самоподписные сертификаты или сертификаты, выданные не зарегистрированными центрами сертификации.

 Если во входящем трафике обнаруживается некорректный сертификат, то антиврус поднимает алерт с предложением разорвать соединение. Честно говоря, этот механизм реализован настолько неудобно, что кроме мата не вызывает ничего.

 

[Neuroz]

Человек всё правильно спросил и правильно подметил!

Я веб-разработчик. На сайте скоро заканчивается действие SSL сертификата. Я хочу посмотреть на сертификат сайта, а не касперского. Зачем мне эта бесполезная информация в браузере?
На основании каких данных я должен понять, что мне пора перевыпускать/продлевать сертификат?

[ANGElDRAGON]

Neuroz веб-разработчику не проблема же посмотреть детали сертификата своего сайта? У него, возможно, настроены уведомления которые сообщают об окончание действия сертификата?
В теме решение предложили: отключить проверку защищенного соединения в настройках антивируса, либо же временно полностью выгрузить антивирус  Kaspersky Total Security  из системы нажав "Выход" в трее, также вы можете просто добавить свой сайт в исключения проверки SSL соединения. https://help.kaspersky.com/KTS/2020/ru-RU/68219.htm

Edited April 15 by ANGElDRAGON

[Neuroz]

22 минуты назад, ANGElDRAGON сказал:

веб-разработчику не проблема же посмотреть детали сертификата своего сайта? У него, возможно, настроены уведомления которые сообщают об окончание действия сертификата?

Существует множество проблем. Например, сайт (сертификат) не принадлежит разработчику.
Просто не вижу смысла отстаивания данной позиции анти-вируса. Нужен либо интерфейс в Касперском, который позволит посмотреть реальные даты окончания сертификатов, либо переделать логику работы сервиса, чтобы он не подменял настоящий сертификат сайта своим. Это никому не нужно.

[ANGElDRAGON]

Neuroz подмена сертификата необходима для проверки трафика на нежелательный код, основная причина у всех антивирусных компаний.
А вот для злоумышленников это не нужно, антивирус позволяет изменить настройки таким образом, как вам необходимо, но в этом случае защита будет понижена.

[Neuroz]

Вот и получается, что альтернативных вариантов нет. Либо выключай защиту и смотри сертификат, либо забудь про нативную проверку сертификата из браузера.
Как-то совсем не юзер-френдли получается... Кроме того, сертификат это штука такая, где порой мне нужно получить какие-то доп.данные (например, данные сайта компании, уровень доверенности сертификата и т.п.). Получается касперский убивает нативный функционал и ничего не предлагает в замен..

[Neuroz]

Вот и получается, что альтернативных вариантов нет. Либо выключай защиту и смотри сертификат, либо забудь про нативную проверку сертификата из браузера.
Как-то совсем не юзер-френдли получается... Кроме того, сертификат это штука такая, где порой мне нужно получить какие-то доп.данные (например, данные сайта компании, уровень доверенности сертификата и т.п.). Получается касперский убивает нативный функционал и ничего не предлагает в замен..

[ANGElDRAGON]

Neuroz причем тут Лаборатория Касперского? У вас какие предложения есть? Данная проблема есть у большинства софта, который сканирует трафик.
Временные решения есть:
1. Отключить проверку защищенного соединения
2. Добавить сайт в исключения.
3. Дополнительных настройках можно установить маркер: Не расшифровывать защищенные соединения с EV-сертификатом

Думаю со временем от решения подмены сертификатов откажутся и будет что-то другое, а пока как есть..