Nu steeds meer van het internetverkeer via SSL wordt versleuteld is het belangrijk dat virusscanners HTTPS-verkeer kunnen inspecteren, ook al moeten ze hier een "Man-in-the-Middle" met zelf gesigneerde certificaten voor uitvoeren. Dat laat anti-virusbedrijf Avast weten, waarvan de gratis virusscanner tot één van de meestgebruikte anti-virusprogramma's ter wereld wordt.
Voor het versleutelen van verkeer tussen websites en bezoekers wordt een SSL-certificaat gebruikt. Het verkeer is in theorie dan niet meer door derden te bekijken. Om toch te analyseren of het verkeer geen malware of andere kwaadaardige code bevat, installeert Avast op computers een zelf gesigneerd certificaat dat door de browser wordt geaccepteerd. Normaliter geven zelf gesigneerde certificaten in de browser een waarschuwing, omdat de uitgever niet wordt vertrouwd. Om dit op te lossen voegt Avast zichzelf als certificaatautoriteit aan de browser toe, zodat die het certificaat wel vertrouwt.
Zodra de browser een SSL-verbinding opzet zal de virusscanner het eigen certificaat hiervoor gebruiken dat nu geen waarschuwing veroorzaakt. Op deze manier vindt er eigenlijk een Man-in-the-Middle (MITM)-aanval plaats. Volgens Avast is dit noodzakelijk om het verkeer te kunnen scannen. Daarnaast is er ook een verschil met traditionele MITM-aanvallen, aldus de virusbestrijder. "De "man in het midden" die wij gebruiken bevindt zich op dezelfde computer als de browser en maakt gebruik van dezelfde internetverbinding."
Avast laat verder weten dat het voor elk certificaat een andere privésleutel genereert. Een gebruiker zou met zijn eigen installatie dan ook geen verkeer van andere Avast-gebruikers kunnen onderscheppen. Toch stelde onlangs nog een beveiligingsonderzoeker dat de werkwijze van virusscanners, waaronder ook die van Avast, de veiligheid van HTTPS ondermijnen.
Deze posting is gelocked. Reageren is niet meer mogelijk.