アバストのhttpsスキャン機能はどのように機能しますか?それは基本的にMITM攻撃ですか?この機能は数日前にリリースされた2015バージョンで有効になりました
トラストストアに挿入されたローカルCAを使用しています。
•HTTPSスキャンこれで、WebコンテンツフィルタリングコンポーネントでTLS/SSLで保護されたトラフィックを検出および復号化できます。 Windowsのルート証明書ストアと主要なブラウザーに追加された独自の証明書を使用しています。この機能は、HTTPSトラフィックを通過するウイルスから保護し、SPDY + HTTPS/HTTP 2.0トラフィックの互換性を追加します。この機能は、設定セクションで調整/無効化できます。
任意のHTTPSトラフィックをスキャンするには、次のいずれかを実行する必要があります。
クライアントSSLライブラリにフックを追加して、暗号化される直前の送信データと、復号化された直後の受信データを取得します。
サーバーの秘密鍵を知っている(サーバーは「DHE」暗号スイートを使用しない)。
MitM を実行します。これは、ユーザーが制御し、クライアントの「信頼されたCA」ストアにインストールされているCAによって、その場で偽のサーバー証明書を生成することを意味します。
2番目の解決策は実現可能ではありません一般に(サーバーを制御するときに実行できますが、インターネット上のすべてのサーバーに対しては実行できません)。 3番目の解決策は、クライアント側のSSLフックを維持するのが面倒で大きなロジスティクスの問題であり、追加のルートCAを一度挿入するだけの簡単な企業や大規模組織で行うことです。
ローカルにインストールされたウイルス対策を選択できます。 「フック」オプションはよりクリーンですが、特定のSSLライブラリに固有です。通常、IEおよびFirefoxは同じSSL実装をまったく使用しないため、アバストがフックメソッドを使用する場合、両方の実装にフックする必要があります。MitMメソッドはシステム全体に適用する方が簡単です。ソフトウェアの更新に対してより弾力性がありますが、一部の機能(クライアント証明書など)が壊れる可能性があります。どの方法が適用されたかを確認するには、さまざまなHTTPSサイトに接続し、証明書チェーンを確認してください。すべてのチェーンが元に戻った場合アバスティッシュに見える単一のCAに、それがMitMメソッドです。チェーンが既存のさまざまなルートCAに戻る場合、それはフックメソッドです。