解决卡巴斯基劫持系统证书问题

nyarime

目前使用的 Windows 桌面环境杀毒软件更换为 Kaspersky （卡巴斯基），结果在使用过程中发现一个问题。

问题

安装卡巴斯基后大部分网站的证书被卡巴斯基劫持，更换为卡巴斯基的自签名证书，如下图所示。

可见根证书被劫持为 Kaspersky Anti-Virus Personal Root Certificate

解决

参考卡巴斯基知识库可知，这是卡巴斯基的「加密连接扫描」功能导致的。

英文说明

Enabling and disabling encrypted connections scan

To enable or disable encrypted connections scan:

1. In the main application window, click the Settings button.
2. In the left part of the window, in the General settings section, select the Network settings subsection. The network settings are displayed in the right part of the window.
3. In the right part of the window, in the Encrypted connections scan section, perform one of the following actions:
   • Select the Scan encrypted connections check box if you want Kaspersky Endpoint Security to monitor encrypted network traffic.
   • Clear the Scan encrypted connections check box if you do not want Kaspersky Endpoint Security to monitor encrypted network traffic.
4. To save changes, click the Save button.

中文说明

1. 在主应用程序窗口底部，单击按钮。

2. 在应用程序设置窗口中，选择“网络设置”。

3. 在“加密连接扫描”区域中，选择加密连接扫描模式：

   • 不扫描加密连接 Kaspersky Endpoint Security 将无法访问地址以 https:// 开头的网站的内容。

   • 根据保护组件的请求扫描加密连接。Kaspersky Endpoint Security 只有在得到文件威胁防护、邮件威胁防护和 Web 控制组件的请求时才扫描加密流量。

   • 始终扫描加密连接 即使保护组件被禁用，Kaspersky Endpoint Security 也将扫描加密网络流量。

     Kaspersky Endpoint Security 不扫描由禁用了流量扫描的受信任应用程序建立的加密连接。Kaspersky Endpoint Security 不扫描预定义的受信任网站的加密连接。预定义的受信任网站列表由 Kaspersky 专家创建。该列表与应用程序的反病毒数据库一起更新。您仅可以在 Kaspersky Endpoint Security 界面查看预定义的受信任网站列表。您无法在 Kaspersky Security Center 控制台查看列表。

4. 如有必要，添加扫描排除项：受信任地址和应用程序。

5. 单击“高级设置”按钮。

6. 配置用于扫描加密连接的设置（参见下表）。

7. 保存更改。

参数	描述
在访问具有不受信任证书的域时	- 允许。如果选择此选项，当访问具有不受信任证书的域时，Kaspersky Endpoint Security 将允许网络连接。 在浏览器中打开具有未受信任证书的域时，Kaspersky Endpoint Security 会显示一个 HTML 页面，其中显示警告和不建议访问该域的原因。用户可以单击 HTML 警告页面中的链接来获取对所请求 Web 资源的访问权限。单击此链接后，在随后一个小时内访问同一域中的其他资源时，Kaspersky Endpoint Security 不会显示关于不受信任证书的警告。 - 阻止。如果选择此选项，当访问具有不受信任证书的域时，Kaspersky Endpoint Security 阻止网络连接。 在浏览器中打开具有未受信任证书的域时，Kaspersky Endpoint Security 会显示一个 HTML 页面，其中显示阻止该域的原因。
在出现加密连接扫描错误时	- 阻止连接。如果选择此项，在发生加密连接扫描错误时，Kaspersky Endpoint Security 会阻止网络连接。 - 将域添加至排除项。如果选择此项，在发生加密连接扫描错误时，Kaspersky Endpoint Security 将导致错误的域添加到具有扫描错误的域列表中，并且在访问此域时不监控加密网络流量。您只能在应用程序的本地界面中查看具有加密连接扫描错误的域列表。要清除列表内容，您需要选择“阻止连接”。
阻止 SSL 2.0 连接	如果选中该复选框，Kaspersky Endpoint Security 将阻止通过 SSL 2.0 协议建立的网络连接。  如果清除该复选框，Kaspersky Endpoint Security 不会阻止通过 SSL 2.0 协议建立的网络连接，并且不监控通过这些连接传输的网络流量。
解密与使用 EV 证书的网站之间的加密连接	EV 证书（扩展验证证书）确认网站的真实性并增强连接的安全性。浏览器在地址栏中使用锁定图标来指示网站具有 EV 证书。浏览器还可能将地址栏的全部或部分填充绿色。  如果选中该复选框，Kaspersky Endpoint Security 将解密并监控与使用 EV 证书的网站的加密连接。  如果清除该复选框，Kaspersky Endpoint Security 无权访问 HTTPS 流量的内容。为此，应用程序仅基于网址（例如 https://facebook.com）监控 HTTPS 流量。  如果您第一次打开具有 EV 证书的网站，则无论是否选中该复选框，加密连接都将被解密。

---

附录

参考链接

• 配置加密连接扫描设置 - 卡巴斯基在线帮助
• Enabling and disabling encrypted connections scan - Kaspersky
• Explaining Avast’s HTTPS scanning feature - Avast

chx818

这个方法过时了，现在的正确方法应该是开启supermitm，在不更改证书的情况下扫描加密流量
而且改证书这个问题是个会扫描加密流量的杀软/去广告软件都会存在，卡巴目前的supermitm应该是最好的解决这个问题的方案了，另外卡巴的去网页广告效果很牛逼

nyarime

chx818 发表于 2025-4-22 08:37
这个方法过时了，现在的正确方法应该是开启supermitm，在不更改证书的情况下扫描加密流量
而且改证书这个问 ...

但是开卡巴以后打开网页好慢

奇迹

ous50

nyarime 发表于 2025-4-22 09:19
但是开卡巴以后打开网页好慢

毕竟不是专业代理（？

chx818

nyarime 发表于 2025-4-22 09:19
但是开卡巴以后打开网页好慢

我其实无感，或许你可以尝试开启一下supermitm看看，卡巴已经是最不卡网的杀软之一了，看看隔壁的avast…