Проверка защищенных соединений

После установки Kaspersky Endpoint Security добавляет сертификат "Лаборатории Касперского" в системное хранилище доверенных сертификатов (хранилище сертификатов Windows). Kaspersky Endpoint Security использует этот сертификат для проверки защищенных соединений. Также Kaspersky Endpoint Security включает использование системного хранилища доверенных сертификатов в приложениях Firefox и Thunderbird для проверки трафика этих приложений.

Компоненты Веб-Контроль, Защита от почтовых угроз, Защита от веб-угроз могут расшифровывать и проверять сетевой трафик, передаваемый по защищенным соединениям с использованием следующих протоколов:

• SSL 3.0;
• TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3.

Включение проверки защищенных соединений

Чтобы включить проверку защищенных соединений, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Общие настройки → Настройки сети.
3. В блоке Проверка защищенных соединений выберите режим проверки защищенных соединений:
   • Не проверять защищенные соединения. Kaspersky Endpoint Security не имеет доступ к содержанию сайтов, адрес которых начинается с https://.
   • Проверять защищенные соединения по запросу компонентов защиты. Kaspersky Endpoint Security проверяет зашифрованный трафик только по запросу компонентов Защита от файловых угроз, Защита от почтовых угроз и Веб-Контроль.
   • Всегда проверять защищенные соединения. Kaspersky Endpoint Security проверяет зашифрованный сетевой трафик, даже если компоненты защиты выключены.

   Kaspersky Endpoint Security не проверяет защищенные соединения, установленные доверенными приложениями, для которых выключена проверка трафика. Также Kaspersky Endpoint Security не проверяет защищенные соединения из предустановленного списка доверенных сайтов. Предустановленный список доверенных сайтов составляют специалисты "Лаборатории Касперского". Этот список обновляется с антивирусными базами приложения. Вы можете просмотреть предустановленный список доверенных сайтов только в интерфейсе Kaspersky Endpoint Security. В консоли Kaspersky Security Center просмотреть список невозможно.

4. Если требуется, добавьте исключения из проверки: доверенные адреса и приложения.
5. Настройте параметры проверки защищенных соединений (см. таблицу ниже).
6. Сохраните внесенные изменения.

   Параметры проверки защищенных соединений

   Параметр	Описание
   Доверенные корневые сертификаты	Список доверенных корневых сертификатов. Kaspersky Endpoint Security позволяет устанавливать доверенные корневые сертификаты на компьютеры пользователей, если, например, вам нужно развернуть новый центр сертификации. Приложение позволяет добавить сертификат в специальное хранилище сертификатов Kaspersky Endpoint Security. При этом сертификат будет доверенным только для приложения Kaspersky Endpoint Security. То есть пользователь будет иметь доступ к веб-сайту с новым сертификатом в браузере. Если другое приложение попытается получить доступ к веб-сайту, вы можете получить ошибку соединения из-за проблем с сертификатом. Для добавления сертификата в системное хранилище сертификатов, вы можете использовать групповые политики Active Directory.
   При переходе на домен с недоверенным сертификатом	Разрешать. При переходе на домен с недоверенным сертификатом Kaspersky Endpoint Security разрешает установку сетевого соединения. При переходе на домен с недоверенным сертификатом в браузере, Kaspersky Endpoint Security отображает HTML-страницу с предупреждением и информацией о причине, по которой этот домен не рекомендован для посещения. По ссылке из HTML-страницы с предупреждением пользователь может получить доступ к запрошенному веб-ресурсу. Если стороннее приложение или служба устанавливает соединение с доменом с недоверенным сертификатом, Kaspersky Endpoint Security создаст собственный сертификат для проверки трафика. Новый сертификат будет иметь статус Недоверенный. Это нужно, чтобы предупредить стороннее приложение о недоверенном соединении, так как показать HTML-страницу в этом случае невозможно и соединение может быть установлено в фоновом режиме. Блокировать соединение. При переходе на домен с недоверенным сертификатом Kaspersky Endpoint Security блокирует сетевое соединение. При переходе на домен с недоверенным сертификатом в браузере, Kaspersky Endpoint Security отображает HTML-страницу с информацией о причине, по которой переход на этот домен заблокирован.
   В случае возникновения ошибки при проверке защищенного соединения	Блокировать соединение. Если выбран этот элемент, то при возникновении ошибки проверки защищенного соединения Kaspersky Endpoint Security блокирует это сетевое соединение. Добавить домен в исключения. Если выбран этот элемент, то при возникновении ошибки проверки защищенного соединения Kaspersky Endpoint Security добавляет домен, при переходе на который возникла ошибка, в список доменов с ошибками проверки и не контролирует зашифрованный сетевой трафик при переходе на этот домен. Вы можете просмотреть список доменов с ошибками проверки защищенных соединений только в локальном интерфейсе приложения. Чтобы сбросить содержание списка, нужно выбрать элемент Блокировать соединение. Также Kaspersky Endpoint Security формирует событие об ошибке проверки защищенного соединения.
   Блокировать соединения по протоколу SSL 2.0 (рекомендуется)	Если флажок установлен, то приложение блокирует сетевые соединения, устанавливаемые по протоколу SSL 2.0. Если флажок снят, то приложение не блокирует сетевые соединения, устанавливаемые по протоколу SSL 2.0, и не контролирует сетевой трафик, передаваемый по этим соединениям.
   Расшифровывать защищенное соединение с сайтом, использующим EV-сертификат	EV-сертификаты (англ. Extended Validation Certificate) подтверждают подлинность веб-сайтов и повышают безопасность соединения. Браузеры сообщают о наличии на веб-сайте EV-сертификата с помощью значка замка в адресной строке браузера. Также браузеры могут полностью или частично окрашивать адресную строку в зеленый цвет. Если флажок установлен, приложение расшифровывает и контролирует защищенные соединения с EV-сертификатом. Если флажок снят, приложение не имеет доступа к содержанию HTTPS-трафика. Поэтому приложение контролирует HTTPS-трафик только по адресу веб-сайта, например, https://bing.com. Если вы впервые открываете веб-сайт с EV-сертификатом, защищенное соединение будет расшифровано независимо от того, установлен флажок или нет.

Установка доверенных корневых сертификатов

Kaspersky Endpoint Security позволяет устанавливать доверенные корневые сертификаты на компьютеры пользователей, если, например, вам нужно развернуть новый центр сертификации. Приложение позволяет добавить сертификат в специальное хранилище сертификатов Kaspersky Endpoint Security. При этом сертификат будет доверенным только для приложения Kaspersky Endpoint Security. То есть пользователь будет иметь доступ к веб-сайту с новым сертификатом в браузере. Если другое приложение попытается получить доступ к веб-сайту, вы можете получить ошибку соединения из-за проблем с сертификатом. Для добавления сертификата в системное хранилище сертификатов, вы можете использовать групповые политики Active Directory.

Как установить доверенные корневые сертификаты в Консоли администрирования (MMC)

Как установить доверенные корневые сертификаты в Web Console и Cloud Console

Как установить доверенные сертификаты в интерфейсе приложения

В результате Kaspersky Endpoint Security при проверке трафика кроме системного хранилища сертификатов будет использовать собственное хранилище сертификатов.

Проверка защищенных соединений с недоверенным сертификатом

После установки Kaspersky Endpoint Security добавляет сертификат "Лаборатории Касперского" в системное хранилище доверенных сертификатов (хранилище сертификатов Windows). Kaspersky Endpoint Security использует этот сертификат для проверки защищенных соединений. При переходе на домен с недоверенным сертификатом вы можете разрешить или заблокировать пользователю доступ к этому домену (см. инструкцию ниже).

Если вы разрешили пользователю переходить на домены с недоверенным сертификатом, Kaspersky Endpoint Security выполняет следующие действия:

• При переходе на домен с недоверенным сертификатом в браузере, Kaspersky Endpoint Security использует сертификат "Лаборатории Касперского" для проверки трафика. Kaspersky Endpoint Security отображает HTML-страницу с предупреждением и информацией о причине, по которой этот домен не рекомендован для посещения (см. рис. ниже). По ссылке из HTML-страницы с предупреждением пользователь может получить доступ к запрошенному веб-ресурсу. После перехода по этой ссылке Kaspersky Endpoint Security в течение часа не будет отображать предупреждения о недоверенном сертификате при переходе на другие веб-ресурсы в том же домене. Также Kaspersky Endpoint Security формирует событие об использовании защищенного соединения с недоверенным сертификатом.
• Если стороннее приложение или служба устанавливает соединение с доменом с недоверенным сертификатом, Kaspersky Endpoint Security создаст собственный сертификат для проверки трафика. Новый сертификат будет иметь статус Недоверенный. Это нужно, чтобы предупредить стороннее приложение о недоверенном соединении, так как показать HTML-страницу в этом случае невозможно и соединение может быть установлено в фоновом режиме. Поэтому, если стороннее приложение имеет встроенные инструменты проверки сертификатов, соединение может быть разорвано. В этом случае, вам нужно обратиться к владельцу домена и настроить доверенное соединение. Если настроить доверенное соединение невозможно, вы можете добавить это стороннее приложение в список доверенных приложений. Также Kaspersky Endpoint Security формирует событие об использовании защищенного соединения с недоверенным сертификатом.

Как настроить проверку защищенных соединений с недоверенным сертификатом в Консоли администрирования (MMC)

Как настроить проверку защищенных соединений с недоверенным сертификатом в Web Console и Cloud Console

Как настроить проверку защищенных соединений с недоверенным сертификатом в интерфейсе приложения

Предупреждение о переходе на домен с недоверенным сертификатом

Проверка защищенных соединений в Firefox и Thunderbird

После установки Kaspersky Endpoint Security добавляет сертификат "Лаборатории Касперского" в системное хранилище доверенных сертификатов (хранилище сертификатов Windows). Firefox и Thunderbird по умолчанию используют собственное хранилище сертификатов Mozilla, а не хранилище сертификатов Windows. Если в вашей организации развернуто решение Kaspersky Security Center и к компьютеру применена политика, Kaspersky Endpoint Security автоматически включает использование хранилища сертификатов Windows в приложениях Firefox и Thunderbird для проверки трафика этих приложений. Если к компьютеру не применена политика, вы можете выбрать хранилище сертификатов, которое будут использовать приложения Mozilla. Если вы выбрали хранилище сертификатов Mozilla, добавьте сертификат "Лаборатории Касперского" в хранилище вручную. Это позволит избежать ошибок при работе с HTTPS-трафиком.

Для проверки трафика в браузере Mozilla Firefox и почтовом клиенте Thunderbird должна быть включена проверка защищенных соединений. Если проверка защищенных соединений выключена, приложение не проверяет трафик в браузере Mozilla Firefox и почтовом клиенте Thunderbird.

Перед добавлением сертификата в хранилище Mozilla экспортируйте сертификат "Лаборатории Касперского" из Панели управления Windows (свойства браузера). Подробнее об экспорте сертификата "Лаборатории Касперского" вы можете узнать в базе знаний Службы технической поддержки. Подробнее о добавлении сертификата в хранилище см. на сайте Службы технической поддержки Mozilla.

Вы можете выбрать хранилище сертификатов только в локальном интерфейсе приложения.

Чтобы выбрать хранилище сертификатов для проверки защищенных соединений в Firefox и Thunderbird, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Общие настройки → Настройки сети.
3. В блоке Mozilla Firefox и Thunderbird установите флажок Использовать выбранное хранилище сертификатов для проверки защищенных соединений в приложениях Mozilla.
4. Выберите хранилище сертификатов:
   • Использовать хранилище сертификатов Windows (рекомендуется). Это хранилище, в которое корневой сертификат "Лаборатории Касперского" добавляется при установке приложения Kaspersky Endpoint Security.
   • Использовать хранилище сертификатов Mozilla. Приложения Mozilla Firefox и Thunderbird используют собственное хранилище сертификатов. Если выбрано хранилище сертификатов Mozilla, корневой сертификат "Лаборатории Касперского" нужно добавить в это хранилище вручную через свойства браузера.
5. Сохраните внесенные изменения.

Исключение защищенных соединений из проверки

Большинство веб-ресурсов используют защищенное соединение. Специалисты "Лаборатории Касперского" рекомендуют включить проверку защищенных соединений. Если проверка защищенных соединений мешает работе, вы можете добавить веб-сайт в исключения, – доверенные адреса. Если доверенное приложение использует защищенное соединение, вы можете выключить проверку защищенных соединений для этого приложения. Например, вы можете выключить проверку защищенных соединений для приложений облачных хранилищ, так как эти приложения используют двухфакторную аутентификацию с собственным сертификатом.

Чтобы исключить веб-адрес из проверки защищенных соединений, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Общие настройки → Настройки сети.
3. В блоке Проверка защищенных соединений нажмите на кнопку Доверенные адреса.
4. Нажмите на кнопку Добавить.
5. Введите имя домена или IP-адрес, если вы хотите, чтобы приложение Kaspersky Endpoint Security не проверяло защищенные соединения, устанавливаемые при переходе на эту веб-страницу.

   Kaspersky Endpoint Security поддерживает символ * для ввода маски в имени домена.

   Kaspersky Endpoint Security не поддерживает символ * для IP-адресов. Вы можете выбрать диапазон IP-адресов с помощью маски подсети (например, 198.51.100.0/24).

   Примеры:

   • domain.com – запись включает в себя следующие адреса: https://domain.com, https://www.domain.com, https://domain.com/page123. Запись исключает поддомены (например, subdomain.domain.com).
   • subdomain.domain.com – запись включает в себя следующие адреса: https://subdomain.domain.com, https://subdomain.domain.com/page123. Запись исключает домен domain.com.
   • *.domain.com – запись включает в себя следующие адреса: https://movies.domain.com, https://images.domain.com/page123. Запись исключает домен domain.com.
6. Сохраните внесенные изменения.

По умолчанию Kaspersky Endpoint Security не проверяет защищенные соединения при возникновении ошибок и добавляет веб-сайт в специальный список – домены с ошибками проверки. Kaspersky Endpoint Security составляет список для каждого пользователя отдельно и не передает данные в Kaspersky Security Center. Вы можете включить блокирование соединения при возникновении ошибки. Вы можете просмотреть список доменов с ошибками проверки защищенных соединений только в локальном интерфейсе приложения.

Чтобы просмотреть список доменов с ошибками проверки, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Общие настройки → Настройки сети.
3. В блоке Проверка защищенных соединений нажмите на кнопку Домены с ошибками проверки.

Откроется список доменов с ошибками проверки. Чтобы сбросить список вам нужно включить блокирование соединения при возникновении ошибки в политике, применить политику, вернуть параметр в исходное состояние и снова применить политику.

Специалисты "Лаборатории Касперского" составляют список доверенных веб-сайтов, которые Kaspersky Endpoint Security не проверяет независимо от параметров приложения, – глобальные исключения.

Чтобы просмотреть глобальные исключения из проверки защищенного трафика, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Общие настройки → Настройки сети.
3. В блоке Проверка защищенных соединений нажмите на ссылку со списком доверенных веб-сайтов.

Откроется список веб-сайтов, составленный специалистами "Лаборатории Касперского". Kaspersky Endpoint Security не проверяет защищенные соединения для сайтов из списка. Список может быть обновлен при обновлении баз и модулей Kaspersky Endpoint Security.