Jump to content
anton4ik_1988

Отключить замену даты действительности SSL сертификата

Recommended Posts

Здравствуйте!

Использую Total Security 18.0.0.405. При нажатии в браузере на замочек (Firefox) мне в данных о сертификате показывает, что сертификат действителен с 2007 по 2027 год. Скрин
5Bt7d9eZMY8.jpg

Как отключить эту подмену и показывать настоящую дату начала и окончания действия сертификата?

Edited by anton4ik_1988

Share this post


Link to post

Это сертификат Лаборатории, он используется для проверки защищенных соединений.

Отключите проверку защищенных соединений

Share this post


Link to post
2 часа назад, Денис-НН сказал:

Это настоящая дата начала и окончания действия этого сертификата.
 

Хм, странно, sslanalyzer.comodoca.com показывает срок действия с 08 Dec 2016 00:00:00 GMT по 11 Jan 2018 23:59:59 GMT, да и центр выдачи thawte, Inc., а не AO Kaspersky Lab.

2 часа назад, kmscom сказал:

Это сертификат Лаборатории, он используется для проверки защищенных соединений.

Отключите проверку защищенных соединений

Спасибо! Завтра проверю данную настройку.
Однако я заметил, что эта проверка работает как-то странно. Когда первый раз посещаешь сайт, то сертификат как бы выдан каспером и даты те, как в первом сообщении. Но через время появляются реальные данные даты и центра сертификации. Вот пример

Lk7EZ66io3Q.jpg

Share this post


Link to post
6 минут назад, anton4ik_1988 сказал:

Хм, странно, sslanalyzer.comodoca.com показывает срок действия с 08 Dec 2016 00:00:00 GMT по 11 Jan 2018 23:59:59 GMT, да и центр выдачи thawte, Inc., а не AO Kaspersky Lab.

Вы дали ссылку на сертификат сайта, а на скриншоте сертификат программы установленной на вашем компьютере. Этот сертификат, как уже сказано выше, используется для расшифровки и проверки трафика.

Share this post


Link to post

Какие бывают все-таки дотошные и внимательные пользователи, которые заглядывают туда куда вообщем-то не следует и куда большинство пользователей даже и не заходит. ;)

Share this post


Link to post
21 час назад, kmscom сказал:

Это сертификат Лаборатории, он используется для проверки защищенных соединений.

Отключите проверку защищенных соединений

Да, это работает, Спасибо! "Дополнительно / Сеть / Не проверять защищённые соединения".

19 часов назад, Денис-НН сказал:

Вы дали ссылку на сертификат сайта, а на скриншоте сертификат программы установленной на вашем компьютере. Этот сертификат, как уже сказано выше, используется для расшифровки и проверки трафика.

Не совсем понимаю, как такое возможно, потому что исходя из Ваших слов (используется для расшифровки) на сайте forum.kaspersky.com установлен сертификат AO Kaspersky Lab, а не Thawte?
Это сам каспер делает подмену, причём я более чем уверен такого сертификата не сущетсвует - это простая подмена данных для отображения пользователю. Но я не знаю такого центра сертификации, как AO Kaspersky Lab.

И сегодня уже новые данные даты начала и даты конца этого сертификата. Т.е. сегодня каспер уже перевыпустил сертификат? Зачем, если срок годности до 27 года? Это больше похоже на простую замену даты +1 к каждому дню - не более)
3QBSRe0VdVE.jpg

2 часа назад, new kis user 2012 сказал:

Какие бывают все-таки дотошные и внимательные пользователи, которые заглядывают туда куда вообщем-то не следует и куда большинство пользователей даже и не заходит. ;)

Бывает пользователям просто интересно, почему программа показывает не ту информацию, которая должна быть. И когда, например, я это вижу, то я предполагаю, что программа работает неправильно. Ведь даже сам каспер не гарантирует защиту от вирусов, которых нет в базе каспера. Т.е. это может быть и вирусняк, которые переводит меня на другой сайт и показывает мне левый сертификат с супер датами в 20 лет. Вот в чём беда.

Edited by anton4ik_1988
неправильно повествование)

Share this post


Link to post

@anton4ik_1988 для того чтобы проверить https соедениения, касперский пропускает их через себя и дополнительно подписывается своим сертфикатом. То есть это не центр сертификации, а всего лишь посредник который дополнительно перепроверяет надёжность соединения.

 

Share this post


Link to post

Удобнее смотреть сертификаты не на этом форуме где можно запутаться в названиях а на стороннем сайте. Там видно дерево сертификатов, и в качестве корневого виден сертификат Kaspersky Anti-Virus Personal Root Certificate    Это реальный сертификат и он находится на вашем компьютере в локальном хранилище сертификатов.    Копия его находится по пути  C:\ProgramData\Kaspersky Lab\AVP18.0.0\Data\Cert.

На основе этого сертификата выдаётся сертификат для сайта и вот он может иметь разные даты создания.


 

Безымянный2.png

Безымянный.png

1 час назад, anton4ik_1988 сказал:

Но я не знаю такого центра сертификации, как AO Kaspersky Lab

 Тем не менее для проверки трафика такой центр установлен.
 

Share this post


Link to post
2 часа назад, anton4ik_1988 сказал:

Да, это работает, Спасибо! "Дополнительно / Сеть / Не проверять защищённые соединения".

На здоровье, только теперь у Вас трафик защищенных соединений никак не проверяется антивирусом, это гораздо более опасно чем какие-то сертификаты и их даты.

Share this post


Link to post
20 часов назад, Денис-НН сказал:

На основе этого сертификата выдаётся сертификат для сайта и вот он может иметь разные даты создания.

 Тем не менее для проверки трафика такой центр установлен.
 

Может я не совсем разбираюсь в том, как работает SSL/TLS, однако этот сертификат от касперского не имеет никакого смысла. Потому что браузер использует ТОЛЬКО сертификат, полученный в момент установки https соединения и никакой другой. Ибо из сказанного Вами получается, что сертификатом от каспера можно расшифровать любой трафик.
Всё равно не понимаю, как данная "проверка трафика" спасает от вредоносных сайтов использующих самоподписные сертификаты или сертификаты, выданные не зарегистрированными центрами сертификации.

Share this post


Link to post

Антивирус использует системные сертификаты для расшифровки трафика, затем проверяет его,  повторно шифрует своим сертификатом и передаёт в браузер. Поэтому в браузере вы  видите сертификат от ЛК.


 

Цитата

Всё равно не понимаю, как данная "проверка трафика" спасает от вредоносных сайтов использующих самоподписные сертификаты или сертификаты, выданные не зарегистрированными центрами сертификации.

 Если во входящем трафике обнаруживается некорректный сертификат, то антиврус поднимает алерт с предложением разорвать соединение. Честно говоря, этот механизм реализован настолько неудобно, что кроме мата не вызывает ничего.

 

Share this post


Link to post

Человек всё правильно спросил и правильно подметил!

Я веб-разработчик. На сайте скоро заканчивается действие SSL сертификата. Я хочу посмотреть на сертификат сайта, а не касперского. Зачем мне эта бесполезная информация в браузере?
На основании каких данных я должен понять, что мне пора перевыпускать/продлевать сертификат?

Share this post


Link to post
Posted (edited)

Neuroz веб-разработчику не проблема же посмотреть детали сертификата своего сайта? У него, возможно, настроены уведомления которые сообщают об окончание действия сертификата?
В теме решение предложили: отключить проверку защищенного соединения в настройках антивируса, либо же временно полностью выгрузить антивирус  Kaspersky Total Security  из системы нажав "Выход" в трее, также вы можете просто добавить свой сайт в исключения проверки SSL соединения. https://help.kaspersky.com/KTS/2020/ru-RU/68219.htm

Edited by ANGElDRAGON

Share this post


Link to post
22 минуты назад, ANGElDRAGON сказал:

веб-разработчику не проблема же посмотреть детали сертификата своего сайта? У него, возможно, настроены уведомления которые сообщают об окончание действия сертификата?

Существует множество проблем. Например, сайт (сертификат) не принадлежит разработчику.
Просто не вижу смысла отстаивания данной позиции анти-вируса. Нужен либо интерфейс в Касперском, который позволит посмотреть реальные даты окончания сертификатов, либо переделать логику работы сервиса, чтобы он не подменял настоящий сертификат сайта своим. Это никому не нужно.

Share this post


Link to post

Neuroz подмена сертификата необходима для проверки трафика на нежелательный код, основная причина у всех антивирусных компаний.
А вот для злоумышленников это не нужно, антивирус позволяет изменить настройки таким образом, как вам необходимо, но в этом случае защита будет понижена.

Share this post


Link to post

Вот и получается, что альтернативных вариантов нет. Либо выключай защиту и смотри сертификат, либо забудь про нативную проверку сертификата из браузера.
Как-то совсем не юзер-френдли получается... Кроме того, сертификат это штука такая, где порой мне нужно получить какие-то доп.данные (например, данные сайта компании, уровень доверенности сертификата и т.п.). Получается касперский убивает нативный функционал и ничего не предлагает в замен..

Share this post


Link to post

Вот и получается, что альтернативных вариантов нет. Либо выключай защиту и смотри сертификат, либо забудь про нативную проверку сертификата из браузера.
Как-то совсем не юзер-френдли получается... Кроме того, сертификат это штука такая, где порой мне нужно получить какие-то доп.данные (например, данные сайта компании, уровень доверенности сертификата и т.п.). Получается касперский убивает нативный функционал и ничего не предлагает в замен..

Share this post


Link to post

Neuroz причем тут Лаборатория Касперского? У вас какие предложения есть? Данная проблема есть у большинства софта, который сканирует трафик.
Временные решения есть:
1. Отключить проверку защищенного соединения
2. Добавить сайт в исключения.
3. Дополнительных настройках можно установить маркер: Не расшифровывать защищенные соединения с EV-сертификатом

Думаю со временем от решения подмены сертификатов откажутся и будет что-то другое, а пока как есть..

 

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.