В съответствие с действащите в Казахстан от 2016 г към Закона „За съобщенията“, много казахстански доставчици, включително ,
, и , от днес системи за прихващане на клиентски HTTPS трафик със замяна на първоначално използвания сертификат. Първоначално системата за подслушване беше планирана да бъде въведена през 2016 г., но тази операция постоянно се отлагаше и законът започна да се възприема като формален. Извършва се прихващане загриженост за безопасността на потребителите и желанието да ги защитим от съдържание, което представлява заплаха.
За да деактивирате предупрежденията в браузърите за използване на неправилен сертификат към потребителите инсталирайте на вашите системи "“, който се използва при излъчване на защитен трафик към чужди сайтове (например вече е открито заместване на трафик към Facebook).
Когато се установи TLS връзка, истинският сертификат на целевия сайт се заменя с нов сертификат, генериран в движение, който ще бъде маркиран от браузъра като надежден, ако „сертификатът за национална сигурност“ е добавен от потребителя към основния сертификат магазин, тъй като фиктивният сертификат е свързан чрез верига на доверие със „сертификата за национална сигурност“.
Всъщност в Казахстан защитата, предоставена от HTTPS протокола, е напълно компрометирана и всички HTTPS заявки не се различават много от HTTP от гледна точка на възможността за проследяване и заместване на трафика от разузнавателните агенции. Невъзможно е да се контролират злоупотребите в такава схема, включително ако ключовете за криптиране, свързани със „сертификата за национална сигурност“, попаднат в други ръце в резултат на изтичане.
Разработчици на браузъри добавете основния сертификат, използван за прихващане, към списъка за анулирани сертификати (OneCRL), както наскоро Mozilla със сертификати от сертифициращия орган DarkMatter. Но значението на такава операция не е напълно ясно (в минали дискусии се смяташе за безполезно), тъй като в случай на „сертификат за национална сигурност“ този сертификат първоначално не е покрит от вериги на доверие и без потребителят да инсталира сертификата, браузърите вече ще показват предупреждение. От друга страна, липсата на отговор от производителите на браузъри може да насърчи въвеждането на подобни системи в други страни. Като опция се предлага също да се внедри нов индикатор за локално инсталирани сертификати, уловени от MITM атаки.
Източник: opennet.ru