~4 个来源会让您对 AV TLS 解密的安全性三思而后行：

防病毒软件削弱了 HTTPS 安全性：研究人员

“它变成了人们认为合法的安全技术，这似乎很奇怪。过滤应该发生在端点上或根本不发生。如今，浏览器做了很多工作来使您的 HTTPS 连接更加安全。请不要乱来。”

ESET 代表表示，该公司已意识到研究人员提出的问题。

研究人员报告说，卡巴斯基的产品容易受到 FREAK 攻击，攻击者可以强制客户端使用较弱的出口级 RSA 加密。专家说，考虑到卡巴斯基默认拦截重要网站的 HTTPS 流量，这可能会有问题。

“我还发现了许多其他问题。ESET 不支持 TLS 1.2，因此使用安全性较低的加密算法。Avast 和 ESET 不支持 OCSP 装订。卡巴斯基启用了不安全的 TLS 压缩功能，这将使用户容易受到 CRIME 攻击，”Böck 报道。“Avast 和 Kaspersky 都接受 8 位大小的 Diffie Hellman 密钥交换的无意义参数。Avast 特别有趣，因为它捆绑了 Google Chrome 浏览器。它安装了具有高级 HTTPS 功能的浏览器，并立即降低了其安全性。”

那是在 2015 年；

和：

在非浏览器软件中验证 TLS 证书是世界上最危险的代码

请参阅此处的“DNS Over TLS”：https ://dnscrypt.info/faq或此处的来源。

一些 Bitdefender 产品打破了 HTTPS 证书撤销（来源）：

如果一个网站的证书已被证书颁发机构吊销——例如，因为它是欺诈性的或因为它的私钥被黑客破坏——受影响的 Bitdefender 产品仍然会认为它是有效的。更重要的是，作为 HTTPS 扫描功能的一部分，他们会将撤销的证书转换为本地浏览器信任的证书，尽管在正常情况下这些浏览器会拒绝原始证书。

放弃防病毒软件的 HTTPS 扫描功能（来源）：

用户在访问安全的 HTTPS 网站时可能容易受到攻击，而他们的防病毒软件是罪魁祸首。由 Mozilla Firefox、谷歌、Cloudflare 和三所美国大学的专家进行的一项深入研究表明，几种流行的防病毒软件“大大降低了连接安全性”，并使用户面临解密攻击。这无论如何都不是什么新鲜事，反病毒软件使用的 HTTPS 拦截技术多年来一直是争论的主题。

这就是问题所在：据研究人员称，安全软件供应商在 TLS 握手后的检查处理不当。他们查看了 Firefox、Chrome、Safari 和 Internet Explorer 生成的 80 亿次 TLS 握手，并启用了防病毒软件。研究人员分析了 Firefox 的更新服务器、一组流行的电子商务网站和 Cloudflare 内容分发网络。

“在每种情况下，我们发现拦截比以前估计的要多一个数量级，”该论文写道。他们发现 4% 的 Mozilla Firefox 更新服务器连接、6.2% 的电子商务网站和 10.9% 的美国 Cloudflare 连接都发生了拦截。令人担忧的是，当被拦截时，97% 的 Firefox、32% 的电子商务和 54% 的 Cloudflare 连接变得不安全。

“作为一类，拦截产品大大降低了连接安全性。最令人担忧的是，62% 的通过网络中间盒的流量降低了安全性，58% 的中间盒连接存在严重漏洞，”报告中写道。

安全软件不仅会降低连接安全性，还会引入证书验证失败等漏洞。

那是在2017年，

TLS 堆栈的大攻击面和许多变量，如 TLS 密码套件/false_start/安全协商、会话标识符、RTT-0、降级保护、面向隐私的 OCSP 装订/公钥固定和其他参数可能会被破坏、降级、修改或AV TLS 不可用并替换浏览器的规范。为了像浏览器一样安全，必须包含所有这些安全机制，并与时俱进，这是专门的网络浏览器擅长的。最好是它们能够检测和模仿浏览器设置。HTTPS 拦截也会影响非浏览器连接。希望他们已经并将继续快速改进，但“世界上最危险的代码”是我会谨慎对待的。用一个故障点替换数百个故障点（一个证书代替数百个）是有风险的。消除这一点可能是改变家庭和企业环境的必要措施，以确保恶意软件不会受到 MITM AV 或 Middlebox AV 的无意帮助。更好的选择包括 cisco Encrypted Traffic Analytics：无需解密的检测

如果要扫描 HTTPS 流量以查找恶意软件，则需要对其进行解密。Avast 通过安装自己的根证书来在本地拦截您的 Web 流量，充当中间人来实现这一点。

（Avast 有一篇博客文章解释了他们的方法。）

他们（以 Avast 为例）使用的方法是否安全？

主要出现的安全问题是，任何知道生成根证书的私钥的人都可以加密您的流量。这就是为什么他们为每台机器创建一个独特的并且不将其发送到其他任何地方的原因：

我们要强调的是，没有其他人拥有与您从安装生成的证书中获得的唯一密钥相同的唯一密钥。该证书永远不会离开计算机，也永远不会通过 Internet 传输。

这是一个很好的做法，理论上可以保证他们不能轻易地与您的 ISP 密谋从远程解密您的流量。另请注意，仍将根据本地 Windows 证书存储检查所有证书，因此自签名证书将被识别为此类证书，并且不会被 Avast 的根证书“覆盖”并显示为受信任。

另一个需要注意的安全问题是您无法再在浏览器中检查原始证书详细信息。您可以确定它已经过验证，但显示的属性（授权详细信息、加密算法……）将是 Avast 证书的属性，而不是原始属性。

HTTPS 连接真的应该被扫描吗？

如果您认为应该检查 HTTP 流量，那么 HTTPS 也应该检查。HTTPS 只是保护连接，它不会验证网站所有者是否有良好的意图并且他们的网站没有受到损害。

从 HTTPS 安全网站获取此类恶意软件的可能性是否足够高以启用此功能？

主观上，我会说大多数恶意软件仍然通过纯 HTTP 提供服务。但是对于像Let's encrypt这样的免费证书提供者来说，攻击者切换到 HTTPS 并不费力。通过 HTTPS 提供恶意软件对攻击者有一些优势 - 挂锁使它看起来更合法并且更难检查。未来，HTTPS 上的恶意软件肯定会变得更有可能。

另请注意，还有其他侵入性较小的方法可以保护您免受恶意网站的侵害，例如Google 安全浏览。

这当然是我第一次听说 avtivirus 软件扫描入站 HTTPS 连接。

我知道 Avira 的防病毒解决方案会在 Firefox 写入缓存内容时对其进行扫描。一些安全站点会要求不要将内容写入缓存，因此在这种情况下显然不会进行扫描。

但事实证明是的，实际上它正在用自己的根 CA 证书替换 Web 证书，然后使用它代替网站的证书。这就是中间人 (MitM) 攻击的执行方式。

来自 Avast 的网站：

Avast 能够在我们的 Web 内容过滤组件中检测和解密受 TLS/SSL 保护的流量。要检测 HTTPS 站点上的恶意软件和威胁，Avast 必须删除 SSL 证书并添加其自行生成的证书。我们的证书由 Avast 受信任的根授权进行数字签名，并添加到 Windows 和主要浏览器中的根证书存储中，以防止来自 HTTPS 的威胁；否则无法检测到的流量。

如果我们得知网站不接受我们的证书，Avast 会将网站列入白名单。用户也可以手动将站点加入白名单，这样HTTPS扫描不会降低站点访问速度。

进一步继续解释：

Avast WebShield 必须使用 MITM 方法才能扫描安全流量，但重要的区别在于我们使用的“中间人”与浏览器位于同一台计算机中并使用相同的连接。由于 Avast 在计算机上以管理员权限和提升的信任运行，因此它可以创建和存储浏览器正确接受和信任的证书，并且只信任这台机器。对于每个原始证书，Avast 都会制作一份副本并使用位于 Windows 证书存储区中的 Avast 根证书对其进行签名。这个特殊的证书被称为“Avast Web/Mail 证书根”，以清楚地区分创建它的人以及用于什么目的。

关于这一点的重要说明：

在计划实施 HTTPS 扫描时，我们首先关注客户的隐私。这就是为什么我们创建了一种在 Avast 用户访问银行网站时将连接列入白名单或忽略连接的方法。我们目前的名单有来自世界各地的 600 多家银行，并且我们不断添加新的、经过验证的银行网站。在使用网上银行网站时，您可以而且应该验证银行的安全证书。验证后，您可以通过向我们发送电子邮件将银行或其他网站提交到我们的白名单：banks‑whitelist@avast.com。

如果我尝试使用自签名证书连接到网站会怎样？Avast 将检测到这一点，并使用由 Avast 签名的不受信任的证书，从而允许正常的“不安全”浏览器行为。浏览器仍会警告用户连接不安全。

我没有看到任何提及将安全数据运送到场外的内容，但请务必阅读该软件的隐私政策和最终用户许可协议。正如 Avast 的网站所解释的那样，该功能可以关闭。

网址：https ://blog.avast.com/2015/05/25/explaining-avasts-https-scanning-feature/