У адпаведнасці з дзейнымі ў Казахстане з 2016 года да закона «Аб сувязі», многія казахскія правайдэры, у тым ліку ,
, и , з сённяшняга дня сістэмы перахопу HTTPS-трафіку кліентаў з падменай першапачаткова выкарыстоўванага сертыфіката. Першапачаткова сістэму перахопу планавалася ўкараніць у 2016 годзе, але гэта аперацыя ўвесь час адкладалася і закон ужо стаў успрымацца як фармальны. Перахоп ажыццяўляецца клопату аб бяспецы карыстальнікаў і жаданні ахаваць іх ад які прадстаўляе пагрозу кантэнту.
Для адключэння вываду ў браўзэрах папярэджання аб прымяненні некарэктнага сертыфіката карыстальнікам усталяваць на свае сістэмы ««, які прымяняецца пры трансляцыі абароненага трафіку да замежных сайтаў (напрыклад, ужо фіксуецца падмена трафіку да Facebook).
Пры ўсталёўцы TLS-злучэнні рэальны сертыфікат мэтавага сайта падмяняецца згенераваным на лёце новым сертыфікатам, які будзе пазначаны браўзэрам як пэўны, калі «нацыянальны сертыфікат бяспекі» быў дададзены карыстачом у сховішча каранёвых сертыфікатаў, бо падстаўны сертыфікат злучаны ланцужком даверу з « .
Па сутнасці ў Казахстане цалкам скампраметаваная прадастаўляемая пратаколам HTTPS абарона і ўсе HTTPS запыты з пазіцыі магчымасці адсочвання і падмены трафіку спецслужбамі мала чым адрозніваюцца ад HTTP. Пракантраляваць злоўжыванні ў такой схеме немагчыма, у тым ліку пры трапленні звязаных з "нацыянальны сертыфікат бяспекі" ключоў шыфравання ў іншыя рукі ў выніку ўцечкі.
Распрацоўнікі браўзэраў дадаць ужывальны для перахопу каранёвы сертыфікат у спіс адкліканых сертыфікатаў (OneCRL), як нядаўна Mozilla з сертыфікатамі які сведчыць цэнтра DarkMatter. Але сэнс такой аперацыі не зусім ясны (у мінулых абмеркаваннях яго палічылі бескарысным), бо ў выпадку з "нацыянальным сертыфікатам бяспекі" гэты сертыфікат першапачаткова не ахоплены ланцужкамі даверу і без усталёўкі сертыфіката карыстачом браўзэры і так выводзяць папярэджанне. З іншага боку, адсутнасць рэакцыі са боку вытворцаў браўзэраў можа стымуляваць укараненне падобных сістэм у іншых краінах. У якасці варыянту прапануецца таксама рэалізаваць новы індыкатар для лакальна ўсталяваных сертыфікатаў, абвінавачаных у MITM-атаках.
Крыніца: opennet.ru