扫描安全连接

Kaspersky Security 可以扫描通过安全连接传输的流量，安全连接使用以下协议建立：TLS 1.3、TLS 1.2、TLS 1.1、TLS 1.0 和 SSL 3.0。

如果在 TLS 1.3 中使用了加密服务器名称指示技术，应用程序将不会监视通过使用 TLS 1.3 协议的加密连接传输的流量。

应用程序不会监控使用 SSL 2.0 协议通过加密连接传输的流量。

默认情况下，Kaspersky Security 拦截通过安全连接传输的流量，将其解密并发送到邮件反病毒、网页反病毒和 Web 控制组件进行扫描。Kaspersky Security 组件根据配置的设置处理流量。

如果禁用安全连接扫描，应用程序组件将有下列限制：

• 邮件反病毒将不扫描通过协议发送和接收、确保加密数据传输的消息。
• 网页反病毒不扫描通过加密连接访问的网页和文件。
• 在监控通过加密连接访问 Web 资源时，Web 控制不应用使用内容过滤的访问规则。

如果扫描加密连接时发生错误，Web 资源连接将被终止。默认情况下，Kaspersky Security 也会将 Web 资源的域名添加到其安全连接产生扫描错误的域列表。该列表中的域的所有网络资源被排除在安全连接扫描之外。当有人再次尝试访问该域的网络资源时，Kaspersky Security 会允许建立连接但是不会解密和扫描流量。您可以配置发生安全连接扫描错误时 Kaspersky Security 采取的 操作。

当解密流量时，Kaspersky Security 会验证正在为其建立安全连接的 Web 资源的证书。默认情况下，Kaspersky Security 允许在检测到证书错误时建立连接。不过，如果连接通过浏览器建立，屏幕上将显示证书错误警告。您可以配置检测到网络资源证书错误时 Kaspersky Security 采取的操作。

Kaspersky Security 不扫描包括在安全连接扫描预定义排除项列表中的安全连接。预定义排除项列表由卡巴斯基专家生成，包括在 Kaspersky Security 应用程序分发套装中，在应用程序数据库更新时自动更新。您也可以在 Light Agent for Windows 的本地界面中查看预定义排除项列表。

您也可以配置下列安全连接扫描排除项：

• 受信任域的网络资源排除项。如果加密连接用已被添加到受信任域列表的域的网络资源建立，则 Kaspersky Security 不解密流量，不扫描网络资源的证书。
• 受信任应用程序的排除项。如果加密连接由已配置加密流量扫描排除项的应用程序发起，则 Kaspersky Security 不解密流量，不扫描网络资源的证书。

扫描安全连接时会使用 Kaspersky 证书。该证书在安装 Kaspersky Security 时自动安装至受保护的虚拟机上的受信任证书存储，在卸载应用程序时被删除。

Kaspersky Security 将更改受保护的虚拟机上的 Mozilla Firefox 浏览器设置以让浏览器使用受系统信任的证书存储。