In ooreenstemming met dié wat sedert 2016 in Kazakstan van krag is aan die Wet "Op Kommunikasie", baie Kazakh verskaffers, insluitend ,
, и , van vandag stelsels vir die onderskep van kliënt HTTPS-verkeer met vervanging van die aanvanklik gebruikte sertifikaat. Aanvanklik was beplan om die onderskeppingstelsel in 2016 in werking te stel, maar hierdie operasie is voortdurend uitgestel en die wet het begin om as formeel beskou te word. Onderskepping word uitgevoer kommer oor die veiligheid van gebruikers en die begeerte om hulle te beskerm teen inhoud wat 'n bedreiging inhou.
Om waarskuwings in blaaiers oor die gebruik van 'n verkeerde sertifikaat aan gebruikers te deaktiveer installeer op u stelsels "“, wat gebruik word wanneer beskermde verkeer na buitelandse werwe uitgesaai word (byvoorbeeld, verkeersvervanging na Facebook is reeds opgespoor).
Wanneer 'n TLS-verbinding tot stand gebring word, word die werklike sertifikaat van die teikenwebwerf vervang deur 'n nuwe sertifikaat wat dadelik gegenereer word, wat deur die blaaier as betroubaar gemerk sal word indien die "nasionale sekuriteitsertifikaat" deur die gebruiker by die wortelsertifikaat gevoeg is winkel, aangesien die dummy-sertifikaat deur 'n ketting van vertroue met die "nasionale sekuriteitsertifikaat" gekoppel is.
Trouens, in Kazakstan word die beskerming wat deur die HTTPS-protokol verskaf word, heeltemal in die gedrang gebring, en alle HTTPS-versoeke verskil nie veel van HTTP uit die oogpunt van die moontlikheid van opsporing en vervanging van verkeer deur intelligensie-agentskappe nie. Dit is onmoontlik om misbruik in so 'n skema te beheer, insluitend as enkripsiesleutels wat verband hou met die "nasionale sekuriteitsertifikaat" in ander hande val as gevolg van 'n lekkasie.
Blaaier ontwikkelaars voeg die wortelsertifikaat wat vir onderskepping gebruik word, by die sertifikaatherroepingslys (OneCRL), soos onlangs Mozilla met sertifikate van die DarkMatter-sertifiseringsowerheid. Maar die betekenis van so 'n operasie is nie heeltemal duidelik nie (in vorige besprekings is dit as nutteloos beskou), aangesien in die geval van 'n "nasionale sekuriteitsertifikaat" hierdie sertifikaat aanvanklik nie deur vertroueskettings gedek word nie en sonder dat die gebruiker die sertifikaat installeer, blaaiers wys reeds 'n waarskuwing. Aan die ander kant kan die gebrek aan reaksie van blaaiervervaardigers die bekendstelling van soortgelyke stelsels in ander lande aanmoedig. As 'n opsie word daar ook voorgestel om 'n nuwe aanwyser te implementeer vir plaaslik geïnstalleerde sertifikate wat in MITM-aanvalle vasgevang is.
Bron: opennet.ru