, и обяви помещенията на изпълнените в Казахстан "» към списъка с прекратени сертификати. Използването на този основен сертификат вече ще доведе до предупреждение за сигурност във Firefox, Chrome/Chromium и Safari, както и производни продукти, базирани на техния код.
Припомнете си, че през юли в Казахстан имаше установяване на държавен контрол върху защитения трафик към чужди сайтове под предлог за защита на потребителите. На абонатите на редица големи доставчици беше наредено да инсталират специален основен сертификат на компютрите си, което би позволило на ниво доставчик тихо да прихваща криптиран трафик и да се вклинява в HTTPS връзки.
В същото време имаше се опитва да използва този сертификат на практика, за да замени трафика към Google, Facebook, Odnoklassniki, Vkontakte, Twitter, YouTube и други ресурси. При установяване на TLS връзка истинският сертификат на целевия сайт беше заменен с нов сертификат, генериран в движение, който беше маркиран от браузъра като валиден, ако „сертификатът за национална сигурност“ беше добавен от потребителя към хранилището на основните сертификати, тъй като фалшивият сертификат е свързан чрез верига на доверие със „сертификата за национална сигурност“. Без инсталирането на този сертификат не беше възможно да се установи защитена връзка със споменатите сайтове без използването на допълнителни инструменти, като Tor или VPN.
Първите опити за шпиониране на сигурни връзки в Казахстан бяха направени през 2015 г., когато правителството на Казахстан постигнете включването на основния сертификат на контролирания сертифициращ орган в хранилището на основни сертификати на Mozilla. По време на одита беше разкрито намерението този сертификат да се използва за шпиониране на потребители и приложението беше отхвърлено. Година по-късно в Казахстан имаше
промени в Закона за съобщенията, които изискват инсталирането на сертификат от самите потребители, но на практика налагането на този сертификат започна едва в средата на юли 2019 г.
Преди две седмици въвеждането на "сертификат за национална сигурност" с обяснението, че това е само тест на технологията. Доставчиците бяха инструктирани да спрат да налагат сертификати на потребителите, но след две седмици от прилагането много потребители от Казахстан вече са инсталирали сертификата, така че потенциалът за прихващане на трафик не е изчезнал. Със съкращаването на проекта се увеличи и рискът ключовете за криптиране, свързани с „сертификата за национална сигурност“, да попаднат в други ръце в резултат на изтичане на данни (генерираният сертификат е валиден до 2024 г.).
Наложеният сертификат, който не може да бъде отказан, нарушава схемата за проверка на сертифициращия орган, тъй като органът, който е генерирал този сертификат, не е преминал одит за сигурност, не е съгласен с изискванията за сертифициращи центрове и не е длъжен да спазва установените правила, т.е. може да издаде сертификат за всеки сайт на всеки потребител под всякакъв претекст.
Mozilla смята, че подобна дейност подкопава сигурността на потребителите и противоречи на четвъртия принцип. , който счита сигурността и поверителността за основни фактори.
Източник: opennet.ru