, и абвясцілі аб памяшканні ўкараняецца ў Казахстане» у спісы адкліканых сертыфікатаў. Выкарыстанне дадзенага каранёвага сертыфіката з гэтага часу будзе прыводзіць да высновы папярэджання аб парушэнні бяспекі ў Firefox, Chrome/Chromium і Safari, а таксама ў заснаваных на іх кодзе вытворных прадуктах.
Нагадаем, што ў ліпені ў Казахстане была усталёўкі дзяржаўнага кантролю за абароненым трафікам да замежных сайтаў пад падставай абароны карыстачоў. Абанентам шэрагу буйных правайдэраў было загадана ўсталяваць на свае кампутары адмысловы каранёвы сертыфікат, які дазволіў бы на ўзроўні правайдэраў неўзаметку перахапляць шыфраваны трафік і ўкліньвацца ў HTTPS-злучэнні.
У той жа час былі спробы прымянення дадзенага сертыфіката на практыцы для падмены трафіку да Google, Facebook, Аднакласнікі, Вконтакте, Twitter, YouTube і іншых рэсурсаў. Пры ўсталёўцы TLS-злучэнні рэальны сертыфікат мэтавага сайта падмяняўся згенераваным на лёце новым сертыфікатам, які пазначаўся браўзэрам як пэўны, калі "нацыянальны сертыфікат бяспекі" быў дададзены карыстачом у сховішча каранёвых сертыфікатаў, бо падстаўны сертыфікат злучаны ланцужком даверу. Без усталёўкі дадзенага сертыфіката ўсталяваць абароненае злучэнне са згаданымі сайтамі не ўяўлялася магчымым без ужывання дадатковых сродкаў, такіх як Tor або VPN.
Першыя спробы сачэння за абароненымі злучэннямі ў Казахстане былі зроблены ў 2015 годзе, калі ўрад Казахстана дамагчыся ўключэнні каранёвага сертыфіката падкантрольнага які сведчыць цэнтра ў сховішча каранёвых сертыфікатаў Mozilla. Падчас аўдыту быў выяўлены намер выкарыстоўваць гэты сертыфікат для сачэння за карыстальнікамі і заяўка была адхілена. Праз год у Казахстане былі
папраўкі да закона "Аб сувязі", якія прадпісваюць ўстаноўку сертыфіката самімі карыстальнікамі, але на практыцы фарсіраванне дадзенага сертыфіката пачалося толькі ў сярэдзіне ліпеня 2019 года.
Два тыдні таму ўкараненне "нацыянальнага сертыфіката бяспекі" з тлумачэннем, што гэта было толькі тэсціраванне тэхналогіі. Правайдэрам дадзена ўказанне спыніць навязваць сертыфікаты карыстачам, але за два тыдні ўкаранення сертыфікат ужо паспелі ўсталяваць шматлікія казахскія карыстачы, таму патэнцыйная магчымасць перахопу трафіку не знікла. Са згортваннем праекту таксама ўзрасла небяспека траплення звязаных з "нацыянальным сертыфікатам бяспекі" ключоў шыфравання ў іншыя рукі ў выніку ўцечкі дадзеных (згенераваны сертыфікат дзейнічае да 2024 года).
Навязаны сертыфікат, ад якога немагчыма адмовіцца, парушае схему праверкі якія сведчаць цэнтраў, бо які згенераваў дадзены сертыфікат орган не праходзіў аўдыт бяспекі, не згаджаўся з патрабаваннямі да якія сведчаць цэнтрам і не абавязаны вынікаць усталяваным правілам, г.зн. можа выдаць сертыфікат для любога сайта любому карыстачу пад любой падставай.
Mozilla лічыць, што такая дзейнасць падрывае бяспеку карыстальнікаў і супярэчыць чацвёртаму прынцыпу. , які разглядае бяспеку і прыватнасць як асноўныя фактары.
Крыніца: opennet.ru