وفقا لتلك المعمول بها في كازاخستان منذ عام 2016 لقانون "الاتصالات"، العديد من مقدمي الخدمات الكازاخستانيين، بما في ذلك ,
, и ، من اليوم أنظمة لاعتراض حركة مرور HTTPS للعميل مع استبدال الشهادة المستخدمة في البداية. في البداية، كان من المقرر تنفيذ نظام الاعتراض في عام 2016، ولكن تم تأجيل هذه العملية باستمرار وبدأ اعتبار القانون رسميًا. يتم تنفيذ الاعتراض المخاوف بشأن سلامة المستخدمين والرغبة في حمايتهم من المحتوى الذي يشكل تهديدًا.
لتعطيل التحذيرات في المتصفحات حول استخدام شهادة غير صحيحة للمستخدمين التثبيت على أنظمتك ""، والذي يُستخدم عند بث حركة مرور محمية إلى مواقع أجنبية (على سبيل المثال، تم بالفعل اكتشاف استبدال حركة المرور إلى Facebook).
عند إنشاء اتصال TLS، يتم استبدال الشهادة الحقيقية للموقع المستهدف بشهادة جديدة يتم إنشاؤها بسرعة، والتي سيتم وضع علامة عليها من قبل المتصفح على أنها جديرة بالثقة إذا تمت إضافة "شهادة الأمن القومي" من قبل المستخدم إلى شهادة الجذر المتجر، حيث أن الشهادة الوهمية مرتبطة بسلسلة ثقة مع “شهادة الأمن القومي”.
في الواقع، في كازاخستان، الحماية التي يوفرها بروتوكول HTTPS معرضة للخطر تمامًا، وجميع طلبات HTTPS لا تختلف كثيرًا عن HTTP من وجهة نظر إمكانية تتبع واستبدال حركة المرور من قبل وكالات الاستخبارات. ومن المستحيل السيطرة على الانتهاكات في مثل هذا المخطط، بما في ذلك إذا وقعت مفاتيح التشفير المرتبطة بـ "شهادة الأمن القومي" في أيدي أخرى نتيجة للتسرب.
مطوري المتصفح قم بإضافة الشهادة الجذرية المستخدمة للاعتراض إلى قائمة الشهادات الباطلة (OneCRL)، كما حدث مؤخرًا مع Mozilla مع شهادات من هيئة إصدار الشهادات DarkMatter. لكن معنى مثل هذه العملية ليس واضحًا تمامًا (في المناقشات السابقة اعتبرت عديمة الفائدة)، لأنه في حالة "شهادة الأمن القومي" لا يتم تغطية هذه الشهادة في البداية بسلاسل الثقة وبدون تثبيت المستخدم للشهادة، ستعرض المتصفحات تحذيرًا بالفعل. ومن ناحية أخرى، فإن عدم الاستجابة من الشركات المصنعة للمتصفح قد يشجع على إدخال أنظمة مماثلة في بلدان أخرى. كخيار، يُقترح أيضًا تنفيذ مؤشر جديد للشهادات المثبتة محليًا والتي تم اكتشافها في هجمات MITM.
المصدر: opennet.ru