扫描加密链接不能排除网址么？

jone_jys

Wesly.Zhang 发表于 2016-10-24 21:53
Hello，

弹窗 --》 右下角 查看证书  --》常规标签 下有个 安装证书... 按钮没有？有的，赶紧安装这 ...

此证书没有安装选项。

如此恐怖？你别吓我噢！

对于新建标签页的卡巴弹窗我一般都是点击“断开”。

abc45628

pal家族 发表于 2016-10-24 21:04
吓死宝宝

dns是192.168.1.1貌似是路由的问题，TP为例，如果dhcp页面没有手动设置dns，那么电脑的dns就会被设置成这个

jone_jys

貌似此问题已经无解了？至今无法找到哪里可以排除哎。。。。

即使证书有问题，也得让我排除，排除，排除啊！

因为目前只有“新建标签页”最频繁的弹窗了。打开其他网站是OK的，那么我怎么【排除】新建标签页不检测加密呢？。。。

Wesly.Zhang

jone_jys 发表于 2016-11-1 21:57
貌似此问题已经无解了？至今无法找到哪里可以排除哎。。。。

即使证书有问题，也得让我排除，排除，排除 ...

Hello，

打电话给你的互联网接入服务提供商，停止污染 https 页面，否则投诉工信部。

或者使用公开DNS，比如 阿里云DNS 后在看看。

峪飞鹰

看到自签证书无一例外必须阻断，任何继续都会导致严重风险。c.msn.com我这里访问证书是正常的，如果你遇到提示是自签证书，说明你的网络中存在中间人攻击，可能存在泄露包括但不限于密码、银行卡号、身份证、攻击系统获得完整控制权等严重风险，任何试图“忽略并继续”，或者“添加排除”的做法都是极不明智的。

jone_jys

峪飞鹰 发表于 2016-11-27 11:56
看到自签证书无一例外必须阻断，任何继续都会导致严重风险。c.msn.com我这里访问证书是正常的，如果你遇到 ...

你好！我这里用的铁通光纤10M。我独享带宽，路由我自己控制的。路由下面的局域网内还有一台台式机（单奔MES10.2），一台笔记本（单奔火绒4.0），一台平板（单奔KIS17）。

至于你说的自谦证书带来的安全风险，@Wesly.Zhang 也明确的给我提醒了，在此感谢！如果真有安全问题，我相信另外两台的安全软件不可能无动于衷吧！

而我比较纠结的是，出现1楼弹窗没有规律，时有时无。弹窗后我点击“断开”并没有啥用，依然是正常显示新标签页的内容（常用网址 建议网址都正常显示）。所以我一度怀疑是不是卡巴误报？或者说此加密检测有BUG？

再比如，12306大家都熟悉吧！此证书也有问题，但是在没有装卡巴的机子上打开时浏览器会友情提醒，只能点继续访问才能正常购票。那么是否说明12306就真的有问题呢，事实并没有。全国几亿的用户在购票并没有什么安全风险。如果装了卡巴，也会弹窗提醒，如果点了“断开”就真的断了，也只能点击继续才能正常购票。那么为什么就不能排除12306呢？

所以，类似这种证书有问题实际上并没有安全风险的网址，我就想能否排除我信任的网址不让卡巴检测（强迫症不想看见弹窗）。更重要的是，如果没有排除，万一真遇到受攻击的网址，手抖点了“继续”咋办呢？然而我没有找到哪里能够排除生效。

峪飞鹰

而我比较纠结的是，出现1楼弹窗没有规律，时有时无。弹窗后我点击“断开”并没有啥用，依然是正常显示新标签页的内容（常用网址 建议网址都正常显示）。所以我一度怀疑是不是卡巴误报？或者说此加密检测有BUG？

没有规律是因为，你的 ISP （就是宽带提供商）、路由器设备（如果被黑了的话）、在通往c.msn.com这个网站之间的任何中间设备（如电信的基础设施被入侵了的话），会随机进行中间人攻击（这种攻击为了避免被发现，所以通常都不会进行持续攻击的），所以你看起来就是没有规律的。没有规律并不代表是误报，也不代表没有风险，因为这种攻击，如果真的是一种目标性很强的攻击的话（不是配置错误，或者cdn问题），那么只要得手一次就成了，所以它不需要持久。

我可以明确的告诉你，证书检测卡巴不会有错，你的操作系统也不会有错，当有证书错误的时候，无论是不是间歇性、突发性、持久性，都必须选则阻断。

具体到c.msn.com来说，这个地址只提供了一个空白的1像素图片，并没有其它内容，所以如果说isp要劫持的话，我想不出理由来。难道是为了节省几个字节的出口带宽？使用缓存服务器？但是即使是这样，这个地址是https的，那就不能使用自签名证书，这等于私刻公章，即使使用者（isp）的目的只是为了省带宽，但这种风险是转嫁给用户了，假设有一个白名单可以默认放走c.msn.com的所有证书验证，那你连接一个黑客钓鱼的wifi，或者去酒店插了一个酒店的网线，这个c.msn.com就可能被引导到黑客的服务器上，通过对你计算机的漏洞软件攻击，可以完全控制你的电脑。

即使不是黑客的wifi，不是酒店的网络，如果运营商的缓存服务器配置有漏洞，被黑客掌握，也可以给你下发任何木马和病毒，包括但不限于控制你的电脑，控制你的路由器（内网路由器用默认密码的话），等等。

所以这不是个bug，这是卡巴正常工作的表现。

再比如，12306大家都熟悉吧！此证书也有问题，但是在没有装卡巴的机子上打开时浏览器会友情提醒，只能点继续访问才能正常购票。那么是否说明12306就真的有问题呢，事实并没有。全国几亿的用户在购票并没有什么安全风险。如果装了卡巴，也会弹窗提醒，如果点了“断开”就真的断了，也只能点击继续才能正常购票。那么为什么就不能排除12306呢？

12306没有使用任何已知的 CA 证书签网站，而是自己做了个自签的证书，要求你安装 ROOT CA，这要求你最好满足，也就是把他的 ROOT CA 安装到系统里，而不要在浏览器里直接点“继续”，因为没有 CA，你无法知道是不是有人换了证书，任何继续现在不出问题，并不代表以后不出问题。假设黑客可以控制你的网络（如路由器、电脑），黑客可以返回个自己的12306证书，把你的请求劫持到自己的服务器上，然后再转发给真正的12306，你在电脑面前是感觉不出来任何差别的，然而你输入的密码，你登录的账号，你的身份证信息，购票内容，黑客全看得到。

另外，我就不吐槽 12306 的 ROOT CA 只有1024位，还直接用根 CA 签网站了，吐槽也没用，反正大家不得不用。

所以，类似这种证书有问题实际上并没有安全风险的网址，我就想能否排除我信任的网址不让卡巴检测（强迫症不想看见弹窗）。更重要的是，如果没有排除，万一真遇到受攻击的网址，手抖点了“继续”咋办呢？然而我没有找到哪里能够排除生效。

排除只能停用卡巴监控 https 了，但是你要知道，整个机制并不是只有卡巴在运作，你的操作系统也在运作，网站的证书出错，浏览器也会报的，所以即使你不用卡巴的 https 监控，但只要服务器的证书不对，你还是会遇到各种问题（或者提示）。这是你继续与否决定了你的计算机和隐私的安全与否而已。

眼不见心不烦并不能解除这件事背后的安全风险。

jone_jys

峪飞鹰 发表于 2016-11-27 16:35
没有规律是因为，你的 ISP （就是宽带提供商）、路由器设备（如果被黑了的话）、在通往c.msn.com这个网 ...

感谢解答！+1.。

我只提一下，“断开无效”的现象。
其实我最烦的是用Edge新建选项卡时也弹窗。99.9%的弹窗也是新建标签页时弹的。如上图，完整的新标签页的内容。里面除了建议的网址链接和常用的网址外，没有其他图片或脚本之类的了吧！
这种情况下，卡巴弹窗后我点了【断开】，还是会完整的如图所示。所以我才发了这个帖子。

PS：刚刚改为了阿里云的公共DNS试试会怎样。。。

峪飞鹰

jone_jys 发表于 2016-11-27 16:41
感谢解答！+1.。

我只提一下，“断开无效”的现象。

嗯，因为新建的那个页面里有c.msn.com这个地址的访问。正如我说的，这个地址只返回了一个1像素大小（就是你显示器上的一个点大小）的透明图片，并没有别的东西，所以阻断了也看不出来差别，这是正常的。不过阻断的决定是正确的。

如果更换了dns，建议开始运行，输入

1. ipconfig /flusdns

复制代码

刷新一下缓存，否则dns的结果并不即刻生效（如果你的dns是请求自路由器，而路由器自带dns缓存，请重启路由器后才能生效）。

jone_jys

Wesly.Zhang 发表于 2016-11-1 22:00
Hello，

打电话给你的互联网接入服务提供商，停止污染 https 页面，否则投诉工信部。

上来反馈一下：
前天下午已更更换阿里云的DNS，截至目前过去两天了新建标签页没再弹证书的问题。后续再观察一下。
再次感谢！