原来 Avast 这般扫描 HTTPS

传图太麻烦，图放在博客上了
http://www.ivancai.me/2014/12/06/how-avast-scan-https-connections.html

最近用了一台装有Avast 2015的电脑，上网时闲着没事干看了看某个网站的证书。结果发现是Avast! Web/Mail Shield Root颁发的。我感到很惊奇，在杀毒软件厂商中，就听过Symantec和COMODO有经营证书，什么时候Avast也来插上一脚了？

没管它，继续上网。又发现了一个网站使用了Avast颁发的证书。什么时候这货变得这么流行了，难道有免费证书？放狗一搜，毛都没看到。这不对啊，一个存在于系统信任的根证书存储的CA居然没有公开卖证书，还有这么多人用，太不对头了。

点开右下角，在隐藏的托盘图标中发现了一个Avast，啊，好像明白了什么。查看CA的证书生成日期，一问，原来和Avast的安装日期一致。再仔细翻翻Avast的设置，在网页防护设置中发现了启用HTTPS扫描。

这下基本明白了，敢情这货替换了所有HTTPS网站的证书啊。

猜测原理：软件安装时，利用OpenSSL（“关于”中明确指出有使用OpenSSL库）生成根证书，然后每访问一个网站就颁发对应的证书，然后利用私匙解密传输数据进行扫描。

那么问题来了，这样真的安全吗？MITM Attack可以防范吗？没有仔细研究，但这确实是一个巨大的安全隐患。