火绒 SSL 流量嗅探？

证书都换了，怎么和服务器成功握手的？

其实卡巴斯基也有同款操作，还会往页面里插 JS

@iyiluo 猜测是流量先发送到火绒本地那边，然后再转发到原始服务器。

有个选项可以关闭

设置-病毒防护-Web 扫描：关闭 [加密连接扫描]

win 自带的足够用了

@iyiluo 火绒直接写自己的根证书到系统的信任列表。

ESET 、卡巴斯基也都是有 HTTPS 防护的，如果不使用这个功能，关了就行。

这个 colorOS 手机系统也疑似会直接把 google.com 搜索页面的证书替换掉或者直接劫持；访问 Google 时提示是不安全的证书，是否继续访问。

@frencis107 原来如此看来各家都有这个操作

新版本火绒（ 6.0 ）才有这个功能，设置里把 “加密连接扫描” 关了就不会替换证书了。

这些软件，越界了
和现在层层加码的安检，实名一样， 都是“为了你好”
尽量少用吧

兄弟你警觉性很高啊，我辈楷模。

这其实是个安全漏洞，因为遇到失效证书浏览器不会警告了。正规的加密扫描遇到失效证书的时候会把它透传到客户端，让你能看到怎么回事。如果你后面选择无视证书错误，它会 connect reset

换成他自己的我感觉更不安全，他这个估计是要解密 ssl 流量。

12 楼不会是机器人吧…

---

@ellermister 可以看到证书是什么吗？如果它劫持的话，应该会把自己的证书加到信任列表？

@JensenQian win 自带的虽然很强，但是太卡了，疯狂吃资源。

正如楼上所说，开关留给了用户，不喜欢关了就好了，补个卡巴的图：


不过卡巴在遇到证书问题会二次提示，这点还是和火绒不同：

网页下载个病毒或者网页病毒 没拦住 你又得说了

删了好，这样才安全那。 其他安全都比不上隐私安全。

免费的才是最贵的。

杀毒软件直接安装系统根证书，当中间人，拆开 HTTPS 的做法早十几年就有了。0 几年的时候 SSL 证书一个几百块钱还必须固定 IP ，所以只用在登录页面和密码的页面，恶意网站也犯不上这么高的成本。现在到处都是 HTTPS ，杀毒软件不当中间人还扫个毛线木马？也就是这几年挂马之类的东西少了。不中间人的话，那就装浏览器扩展，植入 js 或者直接把 URL 跟黑名单对比。我记得卡巴斯基还有一个自己的根证书库和白名单，还可以调整哪些网站需要中间人扫描，那些网站不需要。

安装根证书当中间人的功能所有杀毒软件都有。按理说如果证书出错，普遍做法是杀毒软件自己生成一个页面来警告用户（替代浏览器的警告）。这个功能火绒没做是火绒的锅。

就这还能炸出来 12 楼这种人，服了。

这玩意以前用 eset 的时候遇到过，其实可以理解他们可能是要看 HTTPS 里面的内容是不是钓鱼，很多信息可能也只在本地。

但默认开启这玩意真的不应该，起码要提示一下，之前给我排查证书问题带来了很大的困扰。

这真有点恐怖了

这个功能是怎么实现的, 杀毒软件只能单向替换客户端的证书吧, 服务端的证书都过期了他还能怎么防护?

你自己打开了 ssl 扫描 自己忘记了吧。。。

这选项哪家都是默认不开的

这楼的讨论氛围很和谐呀，大伙儿都理性讨论，得出了“杀毒软件当中间人是正常操作，但火绒没有提示证书无效属于缺陷”。
12 楼这种说国外的月亮圆的被喷挺好的

@jack778 杀毒软件做中间人，浏览器是通过杀毒软件访问网站的，浏览器看到的是杀软的 ssl 证书，网站的证书杀软不验证过期。

@frencis107 #11 我这个选项是开着的，但是没有被替换证书

@arfaWong #29 扫描范围默认是 “仅扫描可能存在风险的加密连接” 吧；而且火绒会默认跳过一些网站，上面有个网站列表的按钮

已经卸载 6.0 装回 5.0 版本了

我的问题是信不过火绒那为什么要用？

杀毒软件这样操作是没问题的；因为他要保护你不网页浏览时被挂马。

他如果不植入根证书就得要入侵你浏览器才能实现；
植入根证书总比侵入浏览器要说得过去吧？

@kokutou 火绒就是默认开的。。。关了还会提示实时防护功能未完全开启