Zertifikatsbruch durch AVAST

Tipp Sicherheit Verschlüsselung & Zertifikate

26.02.2015, aktualisiert 07:42 Uhr, 4912 Aufrufe, 4 Kommentare, 1 Danke

Hallo,

auf Grund des Beitrags von Frank
Neue Adware entdeckt: Privdog hebelt die HTTPS-Sicherheit komplett aus
ist mir aufgefallen das sich hier AVAST genau so verhält.

Dieses Verhalten kann man deaktivieren.

Dazu muss man in Avast Benutzerschnittstelle ein die Einstellungen öffnen

bc470bfb2be9d57e32f24f696b204e35 - Klicke auf das Bild, um es zu vergrößern

und bei Webschutz

78dbd77d702e5d42fea32762f4101c85 - Klicke auf das Bild, um es zu vergrößern

anpassen auswählen.

Hier sollte HTTS Scanning deaktiviert werden um wieder eine sauber Zertifikatskette zu erhalten.

949180293f301311af009508cbd7fec7 - Klicke auf das Bild, um es zu vergrößern

4 Kommentare

LÖSUNG C.R.S. schreibt am 26.02.2015 um 10:12:55 Uhr
- LÖSUNG LordGurke schreibt am 01.03.2015 um 23:27:44 Uhr
  - LÖSUNG C.R.S. schreibt am 02.03.2015 um 06:30:39 Uhr
LÖSUNG mathu schreibt am 26.02.2015 um 10:19:44 Uhr

C.R.S. (Level 2) - Jetzt verbinden

LÖSUNG 26.02.2015, aktualisiert um 10:13 Uhr

Hallo,

also vom kurz drüber Gucken sehe nicht, dass Avast annähernd das Gleiche macht.

Die Client-CA wird bei der Installation individuell generiert und ist auf Serverauthentifizierung beschränkt,
Server-Zertifikate werden validiert und bei ungülitgen Server-Zertifikaten wird ein ungültiges Zertifkat erzeugt.
Die Gültikgeitsdauer des Server-Zertifikats wird repliziert.
Scheibar werden keine Objekte eingebettet.

Die gröbsten Fehlerquellen sind damit umschifft, und der SSL-Scan ist eben eine beworbene Funktion.

Grüße
Richard

mathu (Level 2) - Jetzt verbinden

LÖSUNG 26.02.2015 um 10:19 Uhr

Ist halt die Frage, ob der Scanner MiM lokal spielt oder bricht er die Verschlüsselung über einen Webdienst vom Hersteller?

LordGurke (Level 2) - Jetzt verbinden

LÖSUNG 01.03.2015 um 23:27 Uhr

Zitat von C.R.S.:
Server-Zertifikate werden validiert und bei ungülitgen Server-Zertifikaten wird ein ungültiges Zertifkat erzeugt.

Werden die wirklich gegen OCSP validiert? Und was passiert bei EV-Zertifikaten?
Bei ersterem hat der Browser keine Chance auf zurückgezogene/gesperrte Zertifikate zu prüfen, bei zweiterem würde die grüne SSL-Leiste verschwinden.
Das sind zwei Punkte, die leider bisher alle von mir benutzten Virenscanner (Eset NOD32, McAfee und Kaspersky) nicht hinbekommen haben.

@wiesi200
Magst du einmal testen, ob mit aktiviertem SSL-Scan die Seite https://revoked.grc.com/ aufrufbar ist?
Falls gegen OCSP validiert wird, dürfte die Seite nicht angezeigt werden.

C.R.S. (Level 2) - Jetzt verbinden

LÖSUNG 02.03.2015 um 06:30 Uhr

Zitat von LordGurke:

Werden die wirklich gegen OCSP validiert?

Stimmt, das ist ein Einwand, es wird nur gegen den den Zertifikatspeicher validiert. Verbindungen mit EV-Zertifikaten werden grundsätzlich nicht aufgebrochen (zwangsläufig einmalig, wenn die CA erst nachgeladen wird). Den Punkt mit den EV-Zertifikaten würde ich solchen Lösungen aber generell nicht anlasten. Das ist halt eine konzeptionelle Entscheidung. Wenn man in die EV-Verbindungen rein geht, und das grüne Feld verschwindet, ist ja der Nutzer zutreffend informiert.
Ich bin generell kein Freund von SSL-Inspection und, ob das dann unbedingt auf dem Client bei Gratis-AV sein muss? Na ja.
Nur, in einen Topf mit der Adware und ihrer enormen Angriffsfläche kann man Avast nicht werfen.