我在笔记本电脑上安装了 Kaspersky Internet Security 2016;在 Firefox 和 Edge 中,根颁发者是卡巴斯基反病毒个人根证书。但在 chrome 中,根发行者是 GeoTrust。据我所知,根 CA 证书是由根自签名的。卡巴斯基如何更改发行人名称?它还更改了 Firefox 中的证书层次结构,层次结构是:
Kaspersky Anti-Virus Personal Root Certificate
www.google.com
但在 chrome 中,层次结构是:
GeoTrust Global CA
Google Internet Authority G2
*.google.com
我检查了另一个站点,但所有浏览器都显示了相同的结果?这与某些 url 的 google chrome 证书固定有关吗?
这个“卡巴斯基反病毒个人根证书”表明您的反病毒软件正在积极拦截连接,实际上是在运行中间人攻击。这可以起作用,因为您的防病毒软件在本地(在您的计算机上)运行其自己的证书颁发机构,并将相应的 CA 密钥插入浏览器使用的“受信任的存储”中(好吧,不是全部,因为它显然没有这样做Chrome 的工作——正如@Neil 所说,Chrome 不喜欢被 Google 的证书愚弄)。因此,防病毒软件会即时为 Google 生成虚假证书,从而欺骗您的浏览器。您在 Edge 或 Firefox 中看到的证书不是 Google 的服务器发送的证书,而是卡巴斯基在您的计算机上本地生成的仿制品。
防病毒软件这样做是为了能够在数据流经 SSL 时对其进行检查,而无需深入浏览器的代码。这是“诚实的中间人攻击”。
正如其他答案所指出的,您看到“卡巴斯基反病毒个人根证书”的原因是卡巴斯基拦截了连接,以扫描恶意软件。
现在,Chrome 中的 Google 网站不是这种情况的原因与证书固定无关:
当证书链链接到私有信任锚时,Chrome 不会执行 pin 验证。该策略的一个关键结果是私有信任锚可用于代理(或 MITM)连接,甚至是固定站点。
(来自Chromium 安全常见问题解答)。
不,不是这样的原因是谷歌网站在 Chrome 中使用了QUIC协议,而卡巴斯基还没有拦截 QUIC 连接。
这是因为卡巴斯基在您的系统和常用浏览器中安装了 CA 证书,以便能够拦截 SSL 连接。这对于检测恶意软件很有用。
您引用的第二个层次结构是正确的。