扫描安全连接
2024年1月10日
ID 94974
Kaspersky Security 可以扫描通过安全连接传输的流量,安全连接使用以下协议建立:TLS 1.3、TLS 1.2、TLS 1.1、TLS 1.0 和 SSL 3.0。
如果在 TLS 1.3 中使用了加密服务器名称指示技术,应用程序将不会监视通过使用 TLS 1.3 协议的加密连接传输的流量。
应用程序不会监控使用 SSL 2.0 协议通过加密连接传输的流量。
默认情况下,Kaspersky Security 拦截通过安全连接传输的流量,将其解密并发送到邮件反病毒、网页反病毒和 Web 控制组件进行扫描。Kaspersky Security 组件根据配置的设置处理流量。
如果禁用安全连接扫描,应用程序组件将有下列限制:
- 邮件反病毒将不扫描通过协议发送和接收、确保加密数据传输的消息。
- 网页反病毒不扫描通过加密连接访问的网页和文件。
- 在监控通过加密连接访问 Web 资源时,Web 控制不应用使用内容过滤的访问规则。
如果扫描加密连接时发生错误,Web 资源连接将被终止。默认情况下,Kaspersky Security 也会将 Web 资源的域名添加到其安全连接产生扫描错误的域列表。该列表中的域的所有网络资源被排除在安全连接扫描之外。当有人再次尝试访问该域的网络资源时,Kaspersky Security 会允许建立连接但是不会解密和扫描流量。您可以配置发生安全连接扫描错误时 Kaspersky Security 采取的 操作。
当解密流量时,Kaspersky Security 会验证正在为其建立安全连接的 Web 资源的证书。默认情况下,Kaspersky Security 允许在检测到证书错误时建立连接。不过,如果连接通过浏览器建立,屏幕上将显示证书错误警告。您可以配置检测到网络资源证书错误时 Kaspersky Security 采取的操作。
Kaspersky Security 不扫描包括在安全连接扫描预定义排除项列表中的安全连接。预定义排除项列表由卡巴斯基专家生成,包括在 Kaspersky Security 应用程序分发套装中,在应用程序数据库更新时自动更新。您也可以在 Light Agent for Windows 的本地界面中查看预定义排除项列表。
您也可以配置下列安全连接扫描排除项:
- 受信任域的网络资源排除项。如果加密连接用已被添加到受信任域列表的域的网络资源建立,则 Kaspersky Security 不解密流量,不扫描网络资源的证书。
- 受信任应用程序的排除项。如果加密连接由已配置加密流量扫描排除项的应用程序发起,则 Kaspersky Security 不解密流量,不扫描网络资源的证书。
扫描安全连接时会使用 Kaspersky 证书。该证书在安装 Kaspersky Security 时自动安装至受保护的虚拟机上的受信任证书存储,在卸载应用程序时被删除。
Kaspersky Security 将更改受保护的虚拟机上的 Mozilla Firefox 浏览器设置以让浏览器使用受系统信任的证书存储。