FirefoxがGoogleへの接続が安全でないと主張するのはなぜですか？

カスペルスキーは、最近のほとんどのAV製品と同様に、安全なHTTPトラフィックに対してローカルMITMを実行しています。これは、HTTPトランザクションでペイロードをスキャンできるようにするために行われます。これは、要求または応答のどちらでも可能です。

これを正しく行うために、カスペルスキーは独自のルートCA証明書を生成し、スプーフィングされた証明書をオンザフライで生成して、ブラウザーにフィードする必要があります。カスペルスキーでは、このCAをオペレーティングシステムの信頼できる証明書ストアにインストールする必要もあります。

OS証明書ストアにインストールする必要があるのは、ほとんどのソフトウェアが、受け取った証明書を発行した認証局が有効で信頼できる認証局であることを検証するためです。その権限がそこにない場合、ブーム、あなたはこのエラーを受け取ります。

FireFoxは、偏執狂的な唯一の主流のWebブラウザーです。 OSの証明書ストアを信頼することを拒否します。これは、偽のCAを簡単にインストールしてMITMの人々の接続を開始するのが非常に簡単だからです。代わりに、FireFoxは、Mozillaが信頼するすべてのCAの 完全なリスト とともに配布されます。

これのかわいい点は、実際にはセキュリティがまったく追加されないことです。オープンソース Mozilla NSS パッケージをコンパイルするだけで、CertUtilと呼ばれるユーティリティが含まれます。これは、ルートCAであっても、証明書をFireFoxの信頼できる証明書ストアに透過的に挿入できます。これは、ユーザーがそれを受け入れる必要はなく、これが発生したことをユーザーに警告することもありません。これが私が書いたC＃関数 here でこれがいかに簡単かがわかります。

つまり、カスペルスキーがFireFoxを適切にMITM化していないため、カスペルスキーのCAから発行された証明書がFireFoxに渡されると、すべてのアラームがスローされ、攻撃を受けていることがわかります。