Главная » Linux

Подмена сертификата https windows 10

Содержание
  1. Подмена SSL сертификата провайдером
  2. Подмена сертификата шифрования, firewall, agents, антивирусы, системы безопасности.
  3. Подмена сертификата шифрования и настройка антивирусов
  4. Антивирус Avast
  5. Антивирус ESET Internet Security
  6. Антивирус Kaspersky Internet Security
  7. Антивирус Kaspersky Endpoint Security 11
  8. Антивирус Dr.Web
  9. Программа AdGuard
  10. AVG Antivirus
  11. 360 Total Security

Подмена SSL сертификата провайдером

Здравствуйте, пользователи Хабра!

Сегодня я столкнулся с довольно интересным способом «ограждения пользователей от нежелательной информации», а именно — подменой SSL сертификата.

Начну с того, что ко мне обратился мой хороший товарищ, играющий в интернет-покер. Его провайдер заблокировал один из суб-доменов покер-рума, отвечающий за ставки на спортивные события. Проверив у себя, с удивлением обнаружил, что у меня этот суб-домен открывается (начал уважать своего провайдера чуточку больше). Решил не оставаться в стороне от беды у хорошего человека.

На моем домашнем сервере поднят VPN PPTP сервер, которым я пользуюсь для доступа к общим ресурсам домашней сети, когда нахожусь на работе или где-то еще. Недолго раздумывая и взяв с товарища слово, что мой IP не будет им использоваться где-то еще, кроме этого покер-рума (кому охота потом сидеть за экстремизм или что-то еще противозаконное?) я создал для него отдельную учетную запись, выдал пароль, дал инструкции для подключения и со спокойной душой отправился по своим делам. Спустя 5 минут сообщение от товарища — «не помог этот ваш VPN».

Хочу отметить сразу, сама по себе информационная безопасность для меня в плане DNS атак и подмены SSL — лес темный, делал я все по наитию, но, прочитав пару нагуглившихся статей выяснил, что многие люди считают такие действия со стороны провайдера по крайней мере неэтичными.

Первым делом захотелось глянуть, что же за страницы получает мой товарищ при заходе на заблокированный сайт без VPN доступа. Тут начинается самое интересное, на мой взгляд:

При наличии подключения картинка не изменилась: сайт покер-рума отдавал сертификат провайдера моего товарища. Nslookup отдавал IP адрес заглушки. После прописывания VPN-сервера в качестве DNS-сервера в подключении ситуация изменилась — сертификат начал отдаваться правильно, но доступ все равно оставался закрыт.

Как вы могли заметить, https из строки адреса был убран специально — проверить, как блокируется сайт при использовании VPN.

Был сброшен кэш DNS Windows и по https ситуация улучшилась — сайт начал работать. Однако доступ без https по прежнему выдает заглушку. Скорее всего, проблема где-то на ПК товарища, но в этом я не уверен, в любом случае — ему было достаточно https и на данный момент его все устраивает.

Ну, а этичность в плане подмены сертификата — остается вопросом открытым который, скорее всего, провайдером будет проигнорирован.

Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.

Читайте также:  Как установить службу установщик windows

Подмена сертификата шифрования, firewall, agents, антивирусы, системы безопасности.

Подмена сертификата шифрования

Чтобы убедиться в отсутствии факта перешифровки https-трафика антивирусными программами или proxy. Для этого существует два метода:

Зайдите на портал диагностики, в раздел «Проверка связи» ( https://help.kontur.ru/check). Если в какой-то строчке не стоит галочка, а значение в столбике «Сертификат» подсвечено красным — сертификат подменяется. Необходимо выявить, какой программой выдан сертификат, и настроить её таким образом, чтобы она не вмешивалась в криптографию нашего сервера, либо «научить» программу работать с ГОСТ-овской криптографией. Описание программ, которые могут влиять на подмену сертификата ниже.

Зайдите на сайт https://auth.kontur.ru, нажмите левой клавишей мыши по значку «замкА»(возле адресной строки) либо правой кнопкой мыши на странице\Свойства\Сертификаты и проверьте, какой сертификат сервера предлагается клиенту. Сертификат должен быть таким:

Кому выдан: *.kontur.ru

Кем выдан: RapidSSL SHA256 CA

Серийный номер: 48 61 59 21 53 c2 cf cd e2 0c f8 ec 70 a1 9d 67

Если сертификат другой, значит на стороне абонента происходит перешифровка https-трафика. Необходимо выявить, какой программой выдан сертификат, и настроить её таким образом, чтобы она не вмешивалась в криптографию нашего сервера, либо «научить» программу работать с ГОСТовской криптографией. Описание программ, которые могут влиять на подмену сертификата ниже.

1. StaffCop Agent( http://www.staffcop.ru/help/standard/agent.htm) Система контроля доступа, система учета рабочего времени, контроль и ограничение доступа. Подменяет сертификат на auth.kontur.ru

Решение: отключить/настроить данный агент.

2. На ISA-сервере: bluecoat proxy: не поддерживает ГОСТ-шифрование. Подменяет сертификат на auth.kontur.ru

Решение: отключить/настроить proxy.

3. На ISA-сервере: McAfee Web Gateway 7.2.0.1.0.13253(может быть установлен на прокси-сервере): не поддерживает ГОСТ-шифрование, ошибка The SSL handshake could not be performed. error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number.

Решение: настроить так чтобы пропускал и не вмешивался в пакеты от серверов СКБ Контур. Пустить трафик в обход прокси.

4. На ISA-сервере: Kerio: подменяет содержимое страниц.
5. Adguard ( http://adguard.com/ru). Фильтр интернет-рекламы. Подменяет сертификат сервера на https://reg.kontur-pf.ru

Решение: добавить сайты контура в исключение данной программы.

1. Avast Особенности: подменяет сертификаты сайтов с ГОСТ-овским шифрованием, блокирует открытие некоторых https-сайтов.

Решение: отключить активную защиту для https-сайтов: для этого зайти в настройки Аваста — Активная защита — Веб-экран — Настройки — снять галочки

» Включить сканирование HTTPS»

» Использовать интеллектуальное сканирование потока»

2. ESET Smart Security: при связи с сервером pki.kontur-extern.ru выдает ошибку: Базовое соединение закрыто: Соединение было неожиданно закрыто

Решение: Отключить фильтрацию https-протоколов в ESET Smart Security. Для этого надо:

Открыть ESET/Выбрать «Настройка»/Справа внизу выбрать «Дополнительные настройки»/Слева выбрать «Интернет и электронная почта»/Выбрать подпункт «Защита доступа в интернет»/Посередине выбрать блок «Веб-протоколы»/В подразделе «Настройка модуля» снять галочку с пункта «Включить проверку протокола HTTPS»

3. На ISA-сервере: Searchinform: состоит из компонента EndpointSniffer и агента SIFilterSvc.exe (служба под LocalSystem).

Читайте также:  Сбросить все сетевые подключения windows 10

Особенности: подменяет сертификат уже на самом ПК(CN = Generic Root CA, C = EN), в логах NetWorkMonitor не отбражается.

Решение: Отключить службу SIFilterSvc.exe.

4. Falcongaze SecureTower: Система SecureTower, созданная для обеспечения информационной безопасности и защиты информации в компании представляет собой программный продукт, решающий две основные задачи: защита информации от утечки, а также анализ эффективности работы персонала ( http://falcongaze.ru/products/secure-tower/). Не работает с ГОСТ-ом.

5. Spider Gate (dr.web):

Решение: Отключить фильтрацию https-протоколов в Spider Gate (dr.web)

6. Kaspersky Internet Security

Решение: http://support.kaspersky.ru/6271 — тут находится инструкция по отключению фильтрации https-протоколов в KIS, в зависимости от версии Касперского некоторые элементы интерфейса могут отличаться.

Также возможно вмешательство надстроек Kaspersky Internet Security, которые необходимо отключить:

Kaspersky Protection Toolbar;

Также нужно отключить:

1. Внедрение скриптов Касперского и проверку защищенных соединений:

Примерная инструкция (может отличаться в зависимости от версии Касперского):

Настройки -> Дополнительно -> Сеть -> Внедрять в трафик скрипт для взаимодействия с веб-страницами.

2. Отключить «Автоматически активировать расширениеKaspersky Protection в браузерах» . Примерная инструкция(может отличаться в зависимости от версии Касперского):

Настройки -> Защита -> Веб-Антивирус (или Веб-Защита) -> Расширенные настройки.

Издатель в сертификате: ZAO TNS Gullup Media

решение: удалить researchbar

Издатель в сертификате: Copper Sphere

1) Если программа видна в «Программы и компоненты» — удалить оттуда.

2) Если программа не видна в «Программы и компоненты», но диагностика в разделе «Антивирусы и программы» указывает на присутствие данной программы, она покажет пути, где лежат исполняемые файлы. Их нужно будет удалить вручную.

3) Если в диагностике ничего нет, проверить путь «C:\Documents and Settings\%Username%\Application Data\PBot\», удалить при наличии.

Подмена сертификата шифрования и настройка антивирусов

Для корректной работы в продуктах Контура проверьте, происходит ли подмена сертификата шифрования и настройте антивирусы.

Чтобы убедиться в отсутствии перешифровки https-трафика антивирусными программами или proxy, воспользуйтесь одним из способов:

  • Зайдите на портал диагностики раздел « Проверка связи » (https://help.kontur.ru/check). Если в одной из строчек не стоит флажок, а значение в столбце « Сертификат » подсвечено красным, то происходит подмена сертификата. Название программы, подменяющей сертификат, указано в графе «Издатель».
  • Зайдите на сайт https://auth.kontur.ru, нажмите левой кнопкой мыши по значку «замка» (возле адресной строки) либо правой кнопкой мыши на странице и выберите «Свойства» → «Сертификаты» и проверьте, какой сертификат сервера предлагается. Сертификат должен быть таким:
    • Кому выдан: *.kontur.ru
    • Кем выдан: RapidSSL SHA256 CA
    • Серийный номер: 48 61 59 21 53 c2 cf cd e2 0c f8 ec 70 a1 9d 67
    • Кому выдан: *.kontur.ru
    • Кем выдан: GlobalSign Domain Validation CA — SHA256 — G2
    • Серийный номер: 13 0b ab d5 ec ff a6 f0 71 ae 5a 36

Если сертификат другой, значит происходит перешифровка https-трафика. Название программы, подменяющей сертификат, указано в строке «Кем выдан».

Читайте также:  Windows os requirements что это

Определите, какой программой выдан сертификат и настройте её таким образом, чтобы она не вмешивалась в работу наших сервисов. Инструкции по настройке программ, которые могут влиять на подмену сертификата:

Антивирус Avast

Отключите активную защиту для https-сайтов:

  1. Нажмите правой кнопкой мыши на значке Avast, который находится в области уведомлений, и выберите «Открыть интерфейс пользователя Avast».
  2. Перейдите в «Меню» → «Настройки».
  3. Выберите раздел «Защита» → «Основные компоненты защиты» → «Веб-защита».
  4. Снимите флажки со следующих пунктов:
    • «Включить сканирование HTTPS»;
    • «Включить сканирование скриптов».

Антивирус ESET Internet Security

Отключите фильтрацию https-протоколов в ESET Internet Security:

  1. Откройте антивирус ESET и выберите «Настройка» → «Расширенные параметры».
  2. Перейдите в раздел «Интернет и электронная почта» → «Защита доступа в интернет» → «Веб-протоколы» → «Настройка модуля» и снимите флажок с пункта «Включить проверку протокола HTTPS».

Антивирус Kaspersky Internet Security

В зависимости от версии Касперского некоторые элементы интерфейса могут отличаться. Для настройки антивируса:

  1. Отключите надстройки Kaspersky Internet Security. Для этого:
    1. В Internet Explorer выберите вкладку «Сервис» → «Настроить надстройки».
    2. В разделе «Отображать» выберите пункт «Все надстройки». Найдите в списке надстройки Kaspersky Protection и Kaspersky Protection Toolbar, нажмите на строке правой кнопкой мыши и выберите пункт «Отключить».
  2. Отключите внедрение скриптов Касперского и проверку защищенных соединений. Для этого откройте Kaspersky Internet Security и выберите «Настройки» → «Дополнительно» → «Сеть» → «Внедрять в трафик скрипт для взаимодействия с веб-страницами».
  3. Откройте Kaspersky Internet Security и выберите «Настройки» → «Защита» → «Веб-Антивирус (или Веб-Защита»).
  4. Откройте «Расширенные настройки» и отключите «Автоматически активировать расширение Kaspersky Protection в браузерах».
  5. Отключите проверку HTTPS-соединений. Для этого откройте Kaspersky Internet Security и выберите «Настройки» → «Дополнительные параметры» → «Сеть». В блоке « Проверка защищенных соединений » снимите флажок « Проверять защищенные соединения » .

Антивирус Kaspersky Endpoint Security 11

Для настройки антивируса зайдите в меню «Настройки» → «Общие параметры» → «Параметры сети» и снимите флажок «Проверять защищенные соединения».

Антивирус Dr.Web

Отключите проверку HTTPS-соединений. Для этого:

  1. Откройте Dr.Web и выберите «Настройка» → «Основные» → «Сеть» → «Безопасные соединения».
  2. Установите переключатель « Проверять зашифрованный трафик » в положение « Откл. » .

Программа AdGuard

Отключите проверку HTTPS-соединений. Если в вашем браузере установлено дополнение AdGuard, для него ничего отключать не нужно.

Если оно не установлено, то откройте программу AdGuard, выберите «Настройки» → «Общие настройки» и снимите флажок «Фильтровать HTTPS протокол ».

AVG Antivirus

Отключите проверку HTTPS-соединений. Для этого откройте AVG Antivirus, выберите « Настройки» → «Компоненты» → «Веб-защита или Online Shield» → «Настройки» и снимите флажок « Включить сканирование HTTPS ».

360 Total Security

Для настройки антивируса:

  1. Откройте антивирус и нажмите «Защита вкл.» → «Настройка».
  2. Нажмите на ссылку «Отключить защиту» и нажмите «ОК».

Оцените статью
© 2024 Советы по настройке компьютера