Подмена сертификата шифрования
Чтобы убедиться в отсутствии факта перешифровки https-трафика антивирусными программами или proxy. Для этого существует два метода:
-
Зайдите на портал диагностики, в раздел "Проверка связи" (
https://help.kontur.ru/check). Если в какой-то строчке не стоит галочка, а значение в столбике "Сертификат" подсвечено красным - сертификат подменяется. Необходимо выявить, какой программой выдан сертификат, и настроить её таким образом, чтобы она не вмешивалась в криптографию нашего сервера, либо "научить" программу работать с ГОСТ-овской криптографией. Описание программ, которые могут влиять на подмену сертификата ниже.
-
Зайдите на сайт
https://auth.kontur.ru, нажмите левой клавишей мыши по значку «замкА»(возле адресной строки) либо правой кнопкой мыши на странице\Свойства\Сертификаты и проверьте, какой сертификат сервера предлагается клиенту. Сертификат должен быть таким:
Если сертификат другой, значит на стороне абонента происходит перешифровка https-трафика. Необходимо выявить, какой программой выдан сертификат, и настроить её таким образом, чтобы она не вмешивалась в криптографию нашего сервера, либо "научить" программу работать с ГОСТовской криптографией. Описание программ, которые могут влиять на подмену сертификата ниже.
Firewall
1. StaffCop Agent(
http://www.staffcop.ru/help/standard/agent.htm) Система контроля доступа, система учета рабочего времени, контроль и ограничение доступа. Подменяет сертификат на auth.kontur.ru
Решение: отключить/настроить данный агент.
2. На ISA-сервере: bluecoat proxy: не поддерживает ГОСТ-шифрование. Подменяет сертификат на auth.kontur.ru
Решение: отключить/настроить proxy.
3. На ISA-сервере: McAfee Web Gateway 7.2.0.1.0.13253(может быть установлен на прокси-сервере): не поддерживает ГОСТ-шифрование, ошибка The SSL handshake could not be performed. error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number.
Решение: настроить так чтобы пропускал и не вмешивался в пакеты от серверов СКБ Контур. Пустить трафик в обход прокси.
4. На ISA-сервере: Kerio: подменяет содержимое страниц.
5. Adguard (
http://adguard.com/ru). Фильтр интернет-рекламы. Подменяет сертификат сервера на
https://reg.kontur-pf.ru
Решение: добавить сайты контура в исключение данной программы.
Антивирусы:
1. Avast Особенности: подменяет сертификаты сайтов с ГОСТ-овским шифрованием, блокирует открытие некоторых https-сайтов.
Решение: отключить активную защиту для https-сайтов: для этого зайти в настройки Аваста - Активная защита - Веб-экран - Настройки - снять галочки
-
" Включить сканирование HTTPS"
-
" Использовать интеллектуальное сканирование потока"
-
" Сканирование сценариев"
2. ESET Smart Security: при связи с сервером pki.kontur-extern.ru выдает ошибку: Базовое соединение закрыто: Соединение было неожиданно закрыто
Решение: Отключить фильтрацию https-протоколов в ESET Smart Security. Для этого надо:
Открыть ESET/Выбрать "Настройка"/Справа внизу выбрать "Дополнительные настройки"/Слева выбрать "Интернет и электронная почта"/Выбрать подпункт "Защита доступа в интернет"/Посередине выбрать блок "Веб-протоколы"/В подразделе "Настройка модуля" снять галочку с пункта "Включить проверку протокола HTTPS"
3. На ISA-сервере: Searchinform: состоит из компонента EndpointSniffer и агента SIFilterSvc.exe (служба под LocalSystem).
Особенности: подменяет сертификат уже на самом ПК(CN = Generic Root CA, C = EN), в логах NetWorkMonitor не отбражается.
Решение: Отключить службу SIFilterSvc.exe.
4. Falcongaze SecureTower: Система SecureTower, созданная для обеспечения информационной безопасности и защиты информации в компании представляет собой программный продукт, решающий две основные задачи: защита информации от утечки, а также анализ эффективности работы персонала (
http://falcongaze.ru/products/secure-tower/). Не работает с ГОСТ-ом.
Решение: Отключить/настроить
5. Spider Gate (dr.web):
Решение: Отключить фильтрацию https-протоколов в Spider Gate (dr.web)
6. Kaspersky Internet Security
Решение:
http://support.kaspersky.ru/6271 - тут находится инструкция по отключению фильтрации https-протоколов в KIS, в зависимости от версии Касперского некоторые элементы интерфейса могут отличаться.
Также возможно вмешательство надстроек Kaspersky Internet Security, которые необходимо отключить:
Kaspersky Protection;
Kaspersky Protection Toolbar;
Также нужно отключить:
1. Внедрение скриптов Касперского и проверку защищенных соединений:
Примерная инструкция (может отличаться в зависимости от версии Касперского):
Настройки -> Дополнительно -> Сеть -> Внедрять в трафик скрипт для взаимодействия с веб-страницами.
2. Отключить "Автоматически активировать расширениеKaspersky Protection в браузерах" . Примерная инструкция(может отличаться в зависимости от версии Касперского):
Настройки -> Защита -> Веб-Антивирус (или Веб-Защита) -> Расширенные настройки.
Вирусы/adware/рекламные программы
1. Researchbar:
Издатель в сертификате: ZAO TNS Gullup Media
решение: удалить researchbar
2. pBot:
Издатель в сертификате: Copper Sphere
решение:
1) Если программа видна в "Программы и компоненты" - удалить оттуда.
2) Если программа не видна в "Программы и компоненты", но диагностика в разделе "Антивирусы и программы" указывает на присутствие данной программы, она покажет пути, где лежат исполняемые файлы. Их нужно будет удалить вручную.
3) Если в диагностике ничего нет, проверить путь "C:\Documents and Settings\%Username%\Application Data\PBot\", удалить при наличии.
Назад к списку статей