ProHoster > Блог > internet vijesti > U Kazahstanu je veliki broj velikih provajdera implementirao HTTPS presretanje saobraćaja

U Kazahstanu je veliki broj velikih provajdera implementirao HTTPS presretanje saobraćaja

U skladu sa onima koji su na snazi ​​u Kazahstanu od 2016 amandmani Zakonu „O komunikacijama“, mnogi kazahstanski provajderi, uključujući kcell,
najkraći put, Tele2 и Altel, od danas pušten u rad sistemi za presretanje klijentskog HTTPS prometa uz zamjenu inicijalno korištenog certifikata. Prvobitno je planirano da sistem presretanja bude implementiran 2016. godine, ali je ova operacija stalno odlagana i zakon je počeo da se doživljava kao formalan. Izvodi se presretanje pod maskom zabrinutost za sigurnost korisnika i želja da se zaštite od sadržaja koji predstavlja prijetnju.

Da onemogućite upozorenja u pretraživačima o korištenju neispravnog certifikata za korisnike propisano instalirajte na svoje sisteme "nacionalni sertifikat o bezbednosti“, koji se koristi prilikom emitiranja zaštićenog prometa na strane stranice (na primjer, već je otkrivena zamjena prometa na Facebook-u).

Kada se uspostavi TLS veza, pravi certifikat ciljne stranice zamjenjuje se novim certifikatom generiranim u hodu, koji će pretraživač označiti kao pouzdan ako je korisnik dodao “nacionalnu sigurnost” u root certifikat skladište, budući da je lažni certifikat povezan lancem povjerenja sa “nacionalnim sigurnosnim certifikatom”.

Zapravo, u Kazahstanu je zaštita koju pruža HTTPS protokol potpuno ugrožena, a svi HTTPS zahtjevi se ne razlikuju mnogo od HTTP-a sa stanovišta mogućnosti praćenja i zamjene prometa od strane obavještajnih agencija. Nemoguće je kontrolisati zloupotrebe u takvoj šemi, uključujući slučajeve ako ključevi za šifrovanje povezani sa „sertifikatom o nacionalnoj bezbednosti” dospeju u druge ruke kao rezultat curenja.

Programeri pretraživača razmatraju prijedlog dodajte korijenski certifikat koji se koristi za presretanje na listu opoziva certifikata (OneCRL), kao nedavno Mozilla ušao sa sertifikatima od DarkMatter sertifikacionog tela. Ali značenje takve operacije nije sasvim jasno (u prošlim raspravama smatralo se beskorisnim), budući da u slučaju “sertifikata nacionalne sigurnosti” ovaj certifikat u početku nije pokriven lancima povjerenja i bez korisnikovog instaliranja certifikata, pretraživači će već prikazati upozorenje. S druge strane, nedostatak odgovora proizvođača pretraživača može potaknuti uvođenje sličnih sistema u drugim zemljama. Kao opcija, također se predlaže implementacija novog indikatora za lokalno instalirane certifikate uhvaćene u MITM napadima.

izvor: opennet.ru

Dodajte komentar