Geralmente, esses scanners funcionam da mesma maneira que um proxy ou um ataque man-in-the-middle: eles fazem com que todas as conexões passem por um processo "proxy" executado localmente, que atua como servidor até o navegador em questão, mas também age como um cliente ao conversar com o servidor da web real , descriptografando e criptografando novamente todas as conexões HTTPS. Dessa forma, as conexões podem ser verificadas independentemente do navegador usado.
Esses scanners evitam avisos de certificados instalando um certificado de CA personalizado gerado localmente em seu sistema e emitindo automaticamente certificados temporários para cada site que você visita. Seu artigo confirma isso mencionando que o Avast quebra a atualização do complemento do Firefox, o que significa que o Firefox está vendo os certificados do emissor errado do que o esperado.
Claro que isso tem numerosas desvantagens: ele quebra os recursos de segurança, como a marcação CA (como no exemplo do Firefox) ou a fixação da impressão digital do certificado; ele oculta as informações reais do certificado do navegador (e do usuário); ele confia no Avast para verificar corretamente o certificado do servidor (pessoalmente eu não confio no Avast para fazê-lo corretamente); ele pode ocultar os recursos TLS reais suportados pelos peers (como ALPN), forçando o navegador e o servidor a usar o conjunto de recursos (geralmente desatualizado) que o proxy Avast também oferece suporte ...