Как настроить проверку защищенных соединений

Параметры проверки защищенных соединений используются в работе компонента Защита от веб-угроз. Компонент Защита от веб-угроз может расшифровывать и проверять сетевой трафик, передаваемый по защищенным соединениям.

По умолчанию проверка защищенных соединений включена. Вы можете выключать и включать проверку защищенных соединений в любое время.

Изменяя параметры проверки защищенных соединений, вы можете:

• Выбирать действие, выполняемое приложением при обнаружении недоверенного сертификата.
• Выбирать действие, выполняемое приложением при возникновении ошибки проверки защищенных соединений на веб-сайте.
• Включать и выключать использование интернета при проверке сертификатов.
• Просматривать и настраивать список доверенных доменов.

  Приложение не будет проверять защищенные соединения, установленные при посещении указанных в списке доменов.

• Настраивать список сертификатов, которые приложение будет считать доверенными во время проверки защищенных соединений.
• Настраивать список сетевых портов, контролируемых приложением.

  Вы можете указывать определенные сетевые порты или диапазоны сетевых портов для проверки.

При изменении параметров проверки защищенных соединений приложение формирует событие NetworkSettingsChanged.

В командной строке для управления параметрами проверки защищенных соединений предусмотрены специальные команды управления. С помощью команд управления параметрами проверки защищенных соединений вы можете:

• настраивать параметры проверки защищенных соединений;
• просматривать исключения из проверки защищенных соединений;
• очищать список доменов, которые приложение автоматически исключило из проверки;
• управлять списком сертификатов, которые приложение считает доверенными.

Если проверка защищенных соединений включена, вы не сможете увидеть информацию о настоящем сертификате безопасности сервера, с которым устанавливается соединение.

Если вы пытаетесь подключиться к серверу, который не поддерживает проверку защищенных соединений, приложение не сможет выполнять проверку защищенного соединения с этим сервером.

Приложение не выполняет проверку защищенных соединений в следующих случаях:

• Сервер, с которым устанавливается соединение, использует протоколы, которые приложение не поддерживает.
• Сервер, с которым устанавливается соединение, не поддерживает проверку защищенных соединений.
• Домен сервера, с которым устанавливается соединение, находится в вашем списке исключений.
• Ни один из компонентов защиты приложения Kaspersky не запросил расшифровку трафика.
• Подключение осуществляется с использованием устаревшего протокола SSL 2.0.

Как просмотреть и изменить параметры проверки защищенных соединений

Вы можете просматривать и изменять параметры проверки защищенных соединений. С помощью специальных команд управления вы можете выполнять следующие действия:

• Выводить текущие значения параметров проверки защищенных соединений в консоль или в конфигурационный файл.

  Конфигурационный файл вы можете использовать для изменения параметров.

• Изменять все параметры проверки защищенных соединений, используя конфигурационный файл, который содержит параметры.

  Конфигурационный файл вы можете получить с помощью команды вывода параметров проверки защищенных соединений.

• Изменять отдельные параметры, используя ключи командной строки в формате <имя параметра>=<значение параметра>.

  Текущие значения параметров вы можете получить с помощью команды вывода параметров проверки защищенных соединений.

Чтобы вывести в консоль текущие значения параметров проверки защищенных соединений, выполните следующую команду:

kfl-control --get-net-settings [--json]

где --json – вывод параметров в формате JSON. Если вы не укажете ключ --json, параметры будут выведены в формате INI.

Чтобы вывести в конфигурационный файл текущие значения параметров проверки защищенных соединений, выполните следующую команду:

kfl-control --get-net-settings --file <путь к конфигурационному файлу> [--json]

где:

• --file <путь к конфигурационному файлу> – путь к файлу, в который будут сохранены параметры проверки защищенных соединений. Если вы укажете имя файла, не указав путь к нему, файл будет создан в текущей директории. Если файл с указанным именем уже существует по указанному пути, он будет перезаписан. Если указанная директория отсутствует на диске, файл не будет создан.
• --json – вывод параметров в формате JSON. Если вы не укажете ключ --json, параметры будут выведены в формате INI.

Чтобы изменить значения параметров проверки защищенных соединений с помощью конфигурационного файла:

1. Выведите общие параметры приложения в конфигурационный файл, как описано выше.
2. Измените значения нужных параметров в файле и сохраните изменения.
3. Выполните команду:

   kfl-control --set-net-settings --file <путь к конфигурационному файлу> [--json]

   где:

   • --file <путь к конфигурационному файлу> – полный путь к конфигурационному файлу с параметрами проверки защищенных соединений.
   • --json – импорт параметров из конфигурационного файла формата JSON в приложение. Если вы не укажете ключ --json, приложение попытается выполнить импорт из файла формата INI. При невозможности импорта отображается ошибка.

Все значения параметров проверки защищенных соединений, заданные в файле, будут импортированы в приложение.

Чтобы изменить значения параметров проверки защищенных соединений с помощью командной строки, выполните следующую команду:

kfl-control --set-net-settings <имя параметра>=<значение параметра> [<имя параметра>=<значение параметра>]

где <имя параметра>=<значение параметра> – имя и значение одного из параметров проверки защищенных соединений.

Значения указанных параметров проверки защищенных соединений будут изменены.

Как просмотреть исключения из проверки защищенных соединений

Вы можете просматривать следующие списки исключений из проверки защищенных соединений:

• список исключений, добавленных пользователем;
• список исключений, добавленных приложением;
• список исключений, полученных из баз приложения.

Чтобы просмотреть список исключений из проверки защищенных соединений, добавленных пользователем, выполните следующую команду:

kfl-control -N --query user

Чтобы просмотреть список исключений из проверки защищенных соединений, добавленных приложением, выполните следующую команду:

kfl-control -N --query auto

Чтобы просмотреть список исключений из проверки защищенных соединений, полученных из баз приложения, выполните следующую команду:

kfl-control -N --query kl

Чтобы очистить список доменов, которые приложение автоматически исключило из проверки, выполните следующую команду:

kfl-control -N --clear-web-auto-excluded

Как управлять списком доверенных сертификатов

Чтобы добавить сертификат в список доверенных сертификатов, выполните следующую команду:

kfl-control --add-certificate <путь к сертификату>

где:

<путь к сертификату> – путь к файлу сертификата, который вы хотите добавить, в формате PEM или DER.

Чтобы удалить сертификат из списка доверенных сертификатов, выполните следующую команду:

kfl-control --remove-certificate <субъект сертификата>

Чтобы просмотреть список доверенных сертификатов, выполните следующую команду:

kfl-control --list-certificates

Для каждого сертификата отображается следующая информация:

• субъект сертификата;
• серийный номер;
• издатель сертификата;
• дата начала срока действия сертификата;
• дата окончания срока действия сертификата;
• отпечаток сертификата SHA256.

Для свободной работы с ресурсами, подписанными сертификатами Национального удостоверяющего центра Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации (далее также Минцифры), вам нужно установить на вашем устройстве корневые сертификаты НУЦ Минцифры РФ.

Сертификаты Минцифры не входят в комплект поставки приложения Kaspersky.