, и va anunciar les premisses de la implementada a Kazakhstan "» a la llista de certificats revocats. L'ús d'aquest certificat arrel donarà lloc a un avís de seguretat a Firefox, Chrome/Chromium i Safari, així com productes derivats basats en el seu codi.
Recordem que al juliol a Kazakhstan hi va haver establir el control estatal sobre el trànsit segur a llocs estrangers amb el pretext de protegir els usuaris. Els subscriptors d'una sèrie de grans proveïdors van rebre l'ordre d'instal·lar un certificat arrel especial als seus ordinadors, que permetria a nivell de proveïdor interceptar silenciosament el trànsit xifrat i connectar-se a connexions HTTPS.
Al mateix temps n'hi havia intenta utilitzar aquest certificat a la pràctica per substituir el trànsit a Google, Facebook, Odnoklassniki, Vkontakte, Twitter, YouTube i altres recursos. En establir una connexió TLS, el certificat real del lloc de destinació es va substituir per un nou certificat generat sobre la marxa, que el navegador va marcar com a vàlid si l'usuari va afegir el "certificat de seguretat nacional" al magatzem de certificats arrel, ja que el certificat fals està vinculat per una cadena de confiança amb el "certificat de seguretat nacional". Sense instal·lar aquest certificat, no era possible establir una connexió segura amb els llocs esmentats sense l'ús d'eines addicionals, com Tor o VPN.
Els primers intents d'espiar connexions segures al Kazakhstan es van fer el 2015, quan el govern del Kazakhstan aconseguir la inclusió del certificat arrel de l'autoritat de certificació controlada al magatzem de certificats arrel de Mozilla. Durant l'auditoria, es va revelar la intenció d'utilitzar aquest certificat per espiar els usuaris i l'aplicació va ser rebutjada. Un any després a Kazakhstan n'hi havia
modificacions a la llei "sobre comunicacions" que exigeixen la instal·lació d'un certificat per part dels mateixos usuaris, però a la pràctica l'obligació d'aquest certificat va començar només a mitjans de juliol de 2019.
Fa dues setmanes, la introducció d'un "certificat de seguretat nacional" amb l'explicació que això només era una prova de la tecnologia. S'ha indicat als proveïdors que deixin d'imposar certificats als usuaris, però en dues setmanes d'implementació, molts usuaris kazakhs ja han instal·lat el certificat, de manera que el potencial d'intercepció del trànsit no ha desaparegut. Amb la retallada del projecte, també va augmentar el risc que les claus de xifratge associades al “certificat de seguretat nacional” caiguessin en altres mans com a conseqüència de la fuga de dades (el certificat generat és vàlid fins al 2024).
Un certificat imposat, que no es pot rebutjar, infringeix l'esquema de verificació de l'autoritat de certificació, ja que l'autoritat que ha generat aquest certificat no ha superat una auditoria de seguretat, no està d'acord amb els requisits dels centres de certificació i no està obligat a seguir les normes establertes, és a dir. pot emetre un certificat per a qualsevol lloc a qualsevol usuari amb qualsevol pretext.
Mozilla creu que aquesta activitat soscava la seguretat dels usuaris i és contrària al quart principi. , que considera la seguretat i la privadesa com a factors fonamentals.
Font: opennet.ru