Avast schwächt SSL Verschlüsselung?

Hallo,

Ich wollte mal melden, dass Avast! dadurch, dass der SSL Schlüssel vertauscht wird (damit das Programm in den verschlüsselten Datentraffic schauen kann)
enorm abschwächt.

Hier ein Video für die Erklärung:
https://www.youtube.com/watch?v=_odqJyMLSd0

http://screen-upload.net/image.php?id=dDPDKgNAdSAszI2P7QtY&pass=j0DOVWCPjqfgWiS1SIJ3

Links ist zusehen, wie schwach die Verschlüsselung mit dem avast! Web/Mail Shield ist. (128-Bit-Schlüssel)
Rechts ist zusehen, wie das ganze OHNE aussieht. Wir haben dann einen 256-Bit-Schlüssel

So wird jede Verschlüsselung “ausgehebelt” (sogar die von der Bank).

Ich würde avast! doch bitten, so langsam auf eine stärkere SSL Verschlüsselung umzusteigen.
Da ja auch andere Programme diesen “Fehler” ausnutzen könnten.

Avast 2015: FAQ - HTTPS scanning in Web Shield
https://www.avast.com/faq.php?article=AVKB190#artTitle

Der Link sagt auch nur das, was man ausch schon weiß.

Noch dazu muss gesagt werden, dass avast! auch “falsche” SSL Zertifikate austauscht und durch das “richtige” von avast! ersetzt.

So macht man Webseiten mit “gefäschltem” Zertifikat wieder gültig?

  1. Das ist vollkommener Unsinn…!!
  2. Nein, siehe: https://www.avast.com/faq.php?article=AVKB190#idt_1100
  1. Bitte schauen Sie sich das Video an, dort wird auch das “falsche” Zertifikat in ein gültiges umgetauscht.
    Und man sieht auf dem Bild ganz genau, dass die SSl Verschlüsselung trotzdem abgeschwächt wird.

Sorry Hesio, irgendwelche YT-Videos interessieren mich persönlich überhaupt nicht. Falls du Fakten (aus eigener Erfahrung!!) hast, leg sie bitte auf den Tisch. Ansonsten fällt das für mich in die Kategorie “Gefährliches Halbwissen”.
Avast blockiert falsche/ungültige Zertifikate, kannst du hier testen: https://revoked.grc.com/

PS: Übrigens sind Bank-Seiten vom HTTPS-Scanning ausgeschlossen.

Ich habe in dem ersten Beitrag ein Bild eingefügt, welches zeigt, dass die Verschlüsselung wesentlich schwächer ist, als die vom Server ausgelieferte Verschlüsselung (Zertifikat).

Ist das ein Screenshot von deinem System…??

Ja, aber das sollte eigentlich keine Rolle spielen.
Es geht hier nur um den darin gezeigten Inhalt.

Natürlich spielt es eine Rolle, weil wir jetzt damit arbeiten können. :wink:

  • Welches Avast…? (Free/Pro/IS/Premier)
  • Welche Version…?
  • Betriebssystem…? (32/64 Bit…? - welcher SP…?)
  • Andere sicherheitsbezogene Software installiert…?
  • Welche Version von Firefox ist installiert…?

Okay :slight_smile:

  • Free
  • 2015.10.2.2218
  • Windows 7 64Bit SP1
  • CIS
    -38.0.1

Wie sieht die Sache in einem anderen Browser (z.B.: IE) aus…?

Ja, also im Chrome kommt das:

http://screen-upload.net/image.php?id=WNqJQAbN3eCapMXEk9aS&pass=Bo1CVsxXKJrrwGX9kWvB

Im Internet Explorer gibt’s das nicht… Kommt wahrscheinlich im Spartan Browser ;D ;D

Info von den Devs: [i]The certificate used by webshield is unique for every installation and even gets regenerated when avast is reinstalled. No two users use and trust the same certificate.

Also, most of the certificate attributes, such as validity dates, common name, subject etc. are preserved and verified by the browser no matter if HTTPS scanning in Avast is turned ON or OFF. The issuer is verified in WebShield using Windows native functions from CryptoAPI, against the Windows Certificate Store - the same certificate store that Internet Explorer and others (Chrome) use as well. The certificate that we use to certify the page for the browser never leaves your pc, nor is transfered on the wire. Yes, it is accessible to apps running on the same machine with the Administrator rights, but it is worth noting, that such apps can also create and add any number of their own trusted certificates into the certificate store.

Moreover, we have a list of banking sites, that are automatically ignored. WebShield does not scan your bank! If your bank is not in this list, please write to me, we’ll add it to the list.

We also try hard to ignore sites with EV certificates. The detection here is done live based on the certificate seen previously from the same domain/host. As soon as we see the site using an EV certificate we stop scanning anything more from that same site – all future connections are automatically ignored. The motivation here is the same - if the company (the server) took all the efforts to obtain EV certificate, it’s probably their job to keep their site clean.

Just wanted to say, that there is nothing safe in the mere fact, that the connection is encrypted by one of the cyphers negotiated during HTTPS connect. Anyone can create a HTTPS page and host anything he/she wants on that page. In case the malware distributor also owns the domain (something like wxw.malwaredistributionisfun.com) the certificate can be obtained for free.[/i]

Schönen Feiertag,
Asyn