Fragen zur https-Filterung von AdGuard

[Yawl]

Fragen zur Sicherheit
Dazu übersetzte Auszüge der Seite What is HTTPS filtering | AdGuard Knowledge Base

Wie können Sie sicher sein, dass Sie eine verschlüsselte Verbindung mit der richtigen Website hergestellt haben? Hier kommen Sicherheitszertifikate ins Spiel. Ein Zertifikat dient als Beweis dafür, dass die Website wirklich das ist, was sie Ihnen vorgibt. Verfügt eine Website nicht über ein solches Zertifikat oder enthält das Zertifikat falsche Informationen, lässt der Browser den Aufbau einer sicheren Verbindung nicht zu. Es ist wichtig, dass das von einer Website verwendete Zertifikat von einer Zertifizierungsstelle (CA) ausgestellt wird, der Ihr Browser vertraut. Eine solche Zertifizierungsstelle garantiert, dass das SSL-Zertifikat tatsächlich an den Eigentümer der Website ausgestellt wird.
[...]
Wenn ein Browser versucht, eine Verbindung zu einem Server herzustellen, stellt AdGuard zwei sichere Verbindungen her: eine mit dem Browser (oder einer anderen App) und die andere mit dem Server. Der Browser muss AdGuard und den von ihm erstellten Verbindungen vertrauen. Zu diesem Zweck generiert AdGuard ein spezielles (und einzigartiges) Stammzertifikat und installiert es im System und bei Bedarf auch in einigen Browsern (z. B. Firefox).

Ich verstehe: die aufgerufene Webseite besitzt ein (https-)Zertifikat, das von einer Zertifizierungsstelle ausgestellt wird. Hier schaltet sich AdGuard mit seinem eigenen Zertifikat dazwischen.
1. Frage: Wird hier das Zertifikat der aufgerufenen Seite ausgehebelt? Wie genau kann ich mir die Implementierung des AdGuard-Zertifikats vorstellen bzw. was macht es genau?

[...]
So kann AdGuard sehen, was innerhalb der sicheren Verbindung passiert, und seine Aufgabe erfüllen – Werbung und Tracker blockieren.

Ich verstehe: AdGuard muss die https-Verbindung komplett entschlüsseln, um die Werbung herauszufiltern.
2. Frage: Erfolgt die Filterung von Werbung per https direkt auf dem Smartphone oder auf den Servern von AdGuard? Werden Daten an AdGuard gesendet?
3. Frage: Kann AdGuard den Datenverkehr 'mitlesen'? Sieht AdGuard, was innerhalb der https-Verbindung übertragen wird?
4. Frage: Bleibt die Verbindung verschlüsselt? Falls ja, wie filtert AdGuard dann die Werbung heraus? Läuft es nach dem Schema: Verbindung wird entschlüsselt, Werbung herausgefiltert, Verbindung wird wieder verschlüsselt?
5. Frage: Wenn die https-Verbindung entschlüsselt wird, ist dies dann nicht anfällig für Hackerangriffe?
...was AdGuard übrigens grundsätzlich nicht bestreitet:

Eine Studie aus dem Jahr 2017 zeigt, dass 5 bis 10 % der HTTPS-Verbindungen durch HTTPS-Filteranwendungen hergestellt werden. Dies geschieht normalerweise durch verschiedene Arten von Antivirensoftware. Die schlechte Nachricht ist, dass 24 von 26 getesteten Antivirenprogrammen die Verbindungssicherheit auf verschiedene Weise verringerten, während zwei Drittel Verbindungen herstellten, die anfällig für Hackerangriffe waren.

AdGuard schreibt weiter:

Standardmäßig filtert AdGuard keine Informationen auf Websites von Banken, Zahlungssystemen oder Websites mit wertvollen persönlichen Daten. Wir führen eine Liste mit Tausenden von Ausschlüssen.

Diese Liste z. B. enthält Einträge von Banken-Seiten, die 'angeblich' ausgeschlossen werden sollen.
6. Frage: Wie funktioniert dieser Ausschluss rein technisch?
7. Frage: Betrifft die Ausschlussliste nur (Banken-)Webseiten, die im Browser aufgerufen werden oder auch die (Banken-)Apps?

Fragen zu den Einstellungen
Die Einstellungen zur https-Filterung von AdGuard sind etwas versteckt. In AdGuard 4 zu finden unter: Zahnrad (Symbol) => Filterung => Apps => HTTPS-gefilterte Apps
Dort war bei mir nach der Installation von AdGuard keine App ausgewählt.
8. Frage: Solange hier keine App ausgewählt wird, wir auch keine Verbindung gefiltert, die per https aufgebaut wird? Man muss also zunächst aktiv handeln, damit überhaupt etwas per https gefilter wird, richtig? Oder hat das installierte Zertifikat trotzdem einen Effekt?

Allgemeine Frage - Filterprotokoll
Im Protokoll ist häufig das Ereignis 'HTTPS-Tunnel' zu sehen, bei dem die Anfrage nicht geblockt wurde.
9. Frage: Wird hier lediglich protokolliert, dass die betreffende App per https-Tunnel eine Verbindung zu der angegebenen url aufbaut oder werden hier Daten an AdGuard übermittelt und auf deren Server wird geprüft, ob etwas geblockt werden muss oder nicht?

Das soll es ersteinmal an Fragen zur https-Filterung gewesen sein. Es ist ein bisschen viel geworden, aber ich möchte halt verstehen, was hinter der ganzen https-Filterung steckt.

 

[holms]

Ich verstehe: AdGuard muss die https-Verbindung komplett entschlüsseln, um die Werbung herauszufiltern.

Richtig, genau das. Und es ersetzt das Zertifikat durch ein eigenes.
Immerhin Grundsatz ein Risiko, wenn an eine App dazwischen schaltet. Aber anders geht es ja nicht.

2. Frage: Erfolgt die Filterung von Werbung per https direkt auf dem Smartphone oder auf den Servern von AdGuard? Werden Daten an AdGuard gesendet?

Nur lokal auf dem Phone. Keine Daten an Adguard.

3. Frage: Kann AdGuard den Datenverkehr 'mitlesen'? Sieht AdGuard, was innerhalb der https-Verbindung übertragen wird?

Nein, alles läuft ja lokal auf deinem Gerät ab. Außer du nutzt (nur/zusätzlich) die DNS-Filterung, diese läuft ja bereits zuvor auf dem dem Server ab, hat dann aber auch nichts mit https zu tun.

4. Frage: Bleibt die Verbindung verschlüsselt? Falls ja, wie filtert AdGuard dann die Werbung heraus? Läuft es nach dem Schema: Verbindung wird entschlüsselt, Werbung herausgefiltert, Verbindung wird wieder verschlüsselt?

Ja.

6. Frage: Wie funktioniert dieser Ausschluss rein technisch?

Alles was da eingetragen ist, geht halt nicht durch die https-Filterung auf dem Gerät. Du kannst Adressen auch selbst hinzufügen.

7. Frage: Betrifft die Ausschlussliste nur (Banken-)Webseiten, die im Browser aufgerufen werden oder auch die (Banken-)Apps?

Die https-Filterung wird sowieso fast nur von Browsern unterstützt, nicht von anderen Apps.
Du kannst Banken-Apps übrigens komplett aus Adguard herausnehmen, sodass sie überhaupt nicht über Adguard laufen, unabhängig von https. Mache ich so.

8. Frage: Solange hier keine App ausgewählt wird, wir auch keine Verbindung gefiltert, die per https aufgebaut wird? Man muss also zunächst aktiv handeln, damit überhaupt etwas per https gefilter wird, richtig?

Ja, wobei bei mir standardmäßig die Browser und einige wenige andere Apps bereits aktiviert sind.
Mag sein, dass das inzwischen nach Installation anders ist, weiß ich nicht.

 

[Yawl]

Außer du nutzt (nur/zusätzlich) die DNS-Filterung

Du meinst damit bestimmt den eigenen Dienst und nicht den DNS-Filter innerhalb der Adguard App, richtig?

Du kannst Adressen auch selbst hinzufügen.

Wo genau kann man Adressen selbst zur https-Filterung hinzufügen? Ich habe das nur bei Werbeblockierung und dem DNS-Filter gefunden.

Ja, wobei bei mir standardmäßig die Browser und einige wenige andere Apps bereits aktiviert sind.

Stimmt, Browser werden automatisch aktiviert. Habe ich gerade nach der Installation eines Browser festgestellt.

 

[mtrc]

Hi, ich habe ebenfalls ein CA Certificate im System Store installiert. Was mich dabei wundert, dass die AdGuard App nicht ein eigenes Zertifikat hierfür generiert. Ich habe mir das Zertifikat angeschaut, was man da installiert. Das ist ein Standard-Zertifikat, das wahrscheinlich bei allen Usern dasselbe ist und welches dem Adguard-Hersteller ebenfalls bekannt ist. Warum wird nicht lokal ein neues eigenes privates Zertifikat erstellt?