В Kaspersky Security Center при скачивании пакетов обновлений периодически падает ошибка: TLS Error. Быстрое расследование показало, что проблема возникает при попытке обновления по HTTPS, по HTTP обновление проходит.
Какие могут быть причины?
Недоступны серверы обновлений
Серверы обновлений перечислены здесь:
https://support.kaspersky.com/KSC/15.1/ru-RU/255242.htm
Добавили все IP адреса всех серверов в разрешённые, не помогло.
Недоверенные сертификаты
Скачал сертификат с одного из серверов обновлений, например с https://s05.upd.kaspersky.com.
Kaspersky Security Center действительно не доверяет этому корневому сертификату. Добавил этот сертификат в доверенные корневые центры сертификации ОС. Перезагрузил сервер. Не помогло.
Некорректная настройка прокси-сервера
Если Kaspersky Security Center работает через прокси, то нужно проверить эти настройки. Тут ошибок не нашёл.
Deep Packet Inspection (DPI)
Вычитал:
https://support.kaspersky.ru/ksc13/troubleshooting/error/15633#block5
Проверка защищенных сетевых соединений между Сервером администрирования и прокси-сервером отключена, если в вашей инфраструктуре используется система Deep Packet Inspection (DPI) или технологии расшифровки и анализа трафика (применение SSL-инспекции) в составе сторонних решений безопасности.
Если проверка защищенных соединений включена, то загрузка обновлений заканчивается ошибкой «Failed to establish the HTTPS connection: TLS error (54). ‘/’». При этом загрузка проходит успешно, если вы переключите протокол загрузки обновлений с HTTPS на HTTP по инструкции.
Т.е. если на вашем сетевом оборудовании или где-то ещё в цепочке обновлений используется Deep Packet Inspection (DPI), то можно добавить в исключения:
*.kaspersky.com
*.kaspersky-labs.com
Если такого сделать нельзя, то можно переключить обновления Kaspersky Security Center на HTTP. Чтобы загрузить обновления по протоколу HTTP или HTTPS с помощью утилиты klscflag:
1. Запустите командную строку Windows с правами администратора, а затем измените текущую директорию на директорию с утилитой klscflag. Утилита klscflag расположена в папке установки Сервера администрирования. Путь установки по умолчанию: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.
2. Если вы хотите загружать обновления по протоколу HTTP, выполните одну из следующих команд:
- На устройстве, на котором установлен Сервер администрирования:
klscflag.exe -fset -pv klserver -s Updater -n DisableKLHttps -t d -v 1- На точку распространения:
klscflag.exe -fset -pv klnagent -s Updater -n DisableKLHttps -t d -v 1Если вы хотите загружать обновления по протоколу HTTPS, выполните одну из следующих команд:
- На устройстве, на котором установлен Сервер администрирования:
klscflag.exe -fset -pv klserver -s Updater -n DisableKLHttps -t d -v 0- На точку распространения:
klscflag.exe -fset -pv klnagent -s Updater -n DisableKLHttps -t d -v 0
