2016-cı ildən Qazaxıstanda qüvvədə olanlara uyğun olaraq “Rabitə haqqında” Qanuna, bir çox Qazaxıstan provayderləri, o cümlədən ,
, и , bu gündən ilkin istifadə olunan sertifikatın dəyişdirilməsi ilə müştəri HTTPS trafikinin qarşısını almaq üçün sistemlər. Əvvəlcə 2016-cı ildə ələ keçirmə sisteminin tətbiqi planlaşdırılırdı, lakin bu əməliyyat daim təxirə salındı və qanun formal olaraq qəbul edilməyə başladı. Tutma həyata keçirilir istifadəçilərin təhlükəsizliyi ilə bağlı narahatlıqlar və onları təhlükə yaradan məzmundan qorumaq istəyi.
İstifadəçilərə yanlış sertifikatın istifadəsi ilə bağlı brauzerlərdə xəbərdarlıqları söndürmək üçün sistemlərinizə quraşdırın"", xarici saytlara qorunan trafik yayımlanarkən istifadə olunur (məsələn, Facebook-a trafikin dəyişdirilməsi artıq aşkar edilmişdir).
TLS bağlantısı qurulduqda, hədəf saytın həqiqi sertifikatı, istifadəçi tərəfindən kök sertifikatına “milli təhlükəsizlik sertifikatı” əlavə edilərsə, brauzer tərəfindən etibarlı olaraq qeyd olunacaq, tez yaradılan yeni sertifikatla əvəz olunur. mağaza, çünki saxta sertifikat "milli təhlükəsizlik sertifikatı" ilə bir etibar zənciri ilə bağlıdır.
Əslində, Qazaxıstanda HTTPS protokolu ilə təmin edilən mühafizə tamamilə pozulub və bütün HTTPS sorğuları kəşfiyyat orqanları tərəfindən trafikin izlənilməsi və dəyişdirilməsi imkanları baxımından HTTP-dən çox da fərqlənmir. Belə bir sxemdə sui-istifadə hallarına nəzarət etmək mümkün deyil, o cümlədən “milli təhlükəsizlik sertifikatı” ilə əlaqəli şifrələmə açarları sızma nəticəsində başqa əllərə keçərsə.
Brauzer tərtibatçıları ələ keçirmək üçün istifadə edilən kök sertifikatı bu yaxınlarda Mozilla kimi sertifikatın ləğvi siyahısına (OneCRL) əlavə edin DarkMatter sertifikatlaşdırma orqanının sertifikatları ilə. Lakin belə bir əməliyyatın mənası tam aydın deyil (keçmiş müzakirələrdə faydasız hesab olunurdu), çünki "milli təhlükəsizlik sertifikatı" vəziyyətində bu sertifikat əvvəlcə etibar zəncirləri ilə əhatə olunmur və sertifikatı istifadəçi quraşdırmadan, brauzerlər artıq xəbərdarlıq göstərəcək. Digər tərəfdən, brauzer istehsalçılarının cavab verməməsi digər ölkələrdə də oxşar sistemlərin tətbiqinə təkan verə bilər. Seçim olaraq, MITM hücumlarında tutulan yerli quraşdırılmış sertifikatlar üçün yeni göstəricinin tətbiqi də təklif olunur.
Mənbə: opennet.ru