web-dev-qa-db-ja.com

https://www.google.comの証明書を発行したCA

カスペルスキーインターネットセキュリティ2016をラップトップにインストールしました。 FirefoxおよびEdgeでは、ルート発行者はKaspersky Anti-Virus Personal Root Certificateです。しかしchromeルート発行者はGeoTrustです。私の知る限りでは、ルートCA証明書はルートによって自己署名されています。カスペル​​スキーが発行者名をどのように変更しましたか?また、Firefoxの証明書階層を変更します。階層は次のとおりです。

Kaspersky Anti-Virus Personal Root Certificate
    www.google.com

chromeの階層は次のとおりです:

GeoTrust Global CA
    Google Internet Authority G2
        *.google.com

別のサイトをチェックしましたが、すべてのブラウザで同じ結果が表示されましたか?これはgoogle chrome証明書の一部のURLへの固定に関連していますか?

33

この「カスペルスキーアンチウイルス個人ルート証明書」は、アンチウイルスがアクティブに接続を傍受していることを示しており、実質的に 中間者攻撃 を実行しています。ウイルス対策はローカルで(コンピューター上で)独自の証明機関で実行され、対応するCAキーをブラウザーが使用する「信頼できるストア」に挿入するため、これは機能します(そうではないため、ブラウザーのすべてではありません)。 Chrome-@Neilによって指摘されたように、ChromeはGoogleの証明書をだまされるのを好まない)。したがって、アンチウイルスはオンザフライでGoogleの偽の証明書がブラウザをだまします。EdgeやFirefoxに表示される証明書は、Googleのサーバーが送信したものではなく、Kasperskyがコンピューター上でローカルに作成したものです。

ウイルス対策ソフトウェアは、ブラウザのコードの奥深くにフックする必要なしに、SSLを流れるデータを検査できるようにするために、このようなことを行います。これは「正直なMitM攻撃」です。

66
Tom Leek

他の回答で指摘されているように、「Kaspersky Anti-Virus Personal Root Certificate」が表示される理由は、カスペルスキーがスキャンするために接続を傍受するためですマルウェア用。

さて、Chrome=)のGoogleウェブサイトに当てはまらない理由は、証明書のピン留めとは関係ありません。

証明書チェーンがプライベートトラストアンカーにチェーンされている場合、Chromeはピンの検証を実行しません。このポリシーの主な結果は、プライベートトラストアンカーを使用して、固定サイトへのプロキシ(またはMITM)接続を可能にすることです。

Chromium Security FAQ から)。

いいえ、そうではない理由は、GoogleウェブサイトがChromeで [〜#〜] quic [〜#〜] プロトコルを使用しており、カスペルスキーがQUIC接続を(まだ)インターセプトしていないためです。

11
user3409662

これは、Kasperskyがシステムと一般的に使用されるブラウザーにCA証明書をインストールして、SSL接続を傍受できるようにするためです。これはマルウェアの検出に役立ちます。

あなたが引用した2番目の階層は正しいものです。

6
davidb