知識&消息

防毒軟體avast變成根憑證(avast! Web/Mail Shield Root)??

最近用瀏覽器在查詢網站的憑證資料時,發現一個奇怪的現象,當點擊憑證資訊的時候,看到的憑證串鍊中,根憑證都變成avast! Web/Mail Shield Root,哇!甚麼時候avast防毒軟體廠商也變成CA的發證商拉,而且幾乎所有網站的根憑證都是avast,這是怎麼回事?

最近使用瀏覽器查詢憑證資訊的時候,發現一個現象,當我點擊yahoo的https時,如下圖

可以發現憑證路徑怪怪的, 根憑證變成avast! Web/Mail Shield Root,而且串鍊上變成只有兩張憑證,然後我們點一般的時候,發現簽發者變成avast! Web/Mail Shield Root,發給www.yahoo.com,

而且多了一句話:"請參照憑證授權單位敘述中的詳細資訊",這個說明就表示以經被置換過,您要看到的憑證資料要到詳細資訊中才看的到! 如下圖

很奇怪的是,記得之前看過yahoo的憑證資訊,不是這樣的,利用本網站的工具(SSL Checker),所查出來的資訊,也不是avast發出給yahoo,是verisign發的,如下圖

真是非常奇怪,這個問題需要好好了解一下,

1.首先,avast不是CA廠商這點是確立的,因為從avast的官網上並未看到任何CA有的標章,從cabforum的會員也沒看到avast是其中會員(雖然這並不是必要條件)

2.那麼是不是本身電腦安裝軟體造成,判斷一下!有可能是avast防毒軟體做的事情,因為筆者的電腦上有安裝avast防毒軟體,防毒軟體通常都會提供網頁掃描的的功能,尤其是https網頁, 應該是當您連上https的網站之前,avast會先幫您掃描,掃描完成後,就把原本的發證商顯示驗證,改成"這個網站的身分已經過avast! Web/Mail Shield Root 驗證",如下圖

verisign ==> avast

我們上avast的網站找一下原因,果然找到avast在新版(版號:2015.10.0.2208)的防毒軟體中,在主動防護的網頁掃描部分會主動置換根憑證的顯示資料,

當您在安裝好防毒軟體的時候,防毒軟體會把他的憑證放到您的信任清單當中,您可以在您瀏覽器的根憑證區找到avast的憑證,如下圖

我們來看一下avast憑證的資訊,如下圖,還是使用SHA1的演算法

其實防毒軟體本來就會提供網頁安全掃描功能,只是在安裝上並不會提醒您相關注意的事情,這樣的做法,我個人是認為有待商榷,

問題1:當您查詢憑證串鍊的時候,會看不到原本的憑證串鍊,而且會讓不清楚的人認為憑證的發放者是avast,有誤導之嫌!,如下圖

問題2:avast所放的根憑證的簽章演算法是SHA1,已經不符合SHA2的要求,在沒有被avast置換前,chrome不會顯示有warnning,但是如果avast置換之後,會顯示告警!如下圖

那我要如何不讓avast去置換憑證呢?

如果您不想要讓avast去置換您的憑證顯示情形,可以從以下步驟修正 請打開avast的軟體,找到設定 -> 主動防護 -> 網頁防護 中的自訂 , 如下圖

找到啟用https掃描,把打勾取消,然後按下確定,如下圖

之後再把瀏覽器重啟, 之後就會回到之前沒有被置換的憑證串鍊資訊了!如下圖

值得注意的是:avast的置換不是只有chrome,包含IE,firefox都是如此置換,如下圖

firefox

IE

 後記:

防毒軟體安裝的時候需要注意一下安裝之後的影響,尤其是在SSL憑證這塊,但是大家都沒有注意(連我也是),我想其他的防毒軟體是不是也是這樣做,這是很有可能的! 只是不知道一些瀏覽器廠商是否知道這樣的置換,或者說防毒軟體廠商有跟瀏覽器廠商達成協議,讓這樣的置換是合法的!我還是建議應該要忠實呈現原本的憑證串鍊!讓使用者可以清楚了解憑證的相關資訊!