D'acord amb les vigents a Kazakhstan des de 2016 a la Llei "sobre comunicacions", molts proveïdors kazakhs, inclosos ,
, и , des d'avui sistemes per interceptar el trànsit HTTPS del client amb substitució del certificat utilitzat inicialment. Inicialment, el sistema d'intercepció estava previst que s'implantés l'any 2016, però aquesta operació es va ajornar constantment i la llei es va començar a percebre com a formal. Es realitza la intercepció preocupacions sobre la seguretat dels usuaris i el desig de protegir-los del contingut que suposa una amenaça.
Per desactivar els avisos als navegadors sobre l'ús d'un certificat incorrecte als usuaris instal·lar als vostres sistemes"", que s'utilitza quan s'emet trànsit protegit a llocs estrangers (per exemple, ja s'ha detectat la substitució de trànsit a Facebook).
Quan s'estableix una connexió TLS, el certificat real del lloc de destinació se substitueix per un nou certificat generat sobre la marxa, que el navegador marcarà com a fiable si l'usuari ha afegit el "certificat de seguretat nacional" al certificat arrel. botiga, ja que el certificat simulat està enllaçat per una cadena de confiança amb el "certificat de seguretat nacional" .
De fet, a Kazakhstan, la protecció que proporciona el protocol HTTPS està completament compromesa, i totes les sol·licituds HTTPS no són gaire diferents de l'HTTP des del punt de vista de la possibilitat de seguiment i substitució del trànsit per part de les agències d'intel·ligència. És impossible controlar els abusos en aquest esquema, inclòs si les claus de xifratge associades amb el "certificat de seguretat nacional" cauen a altres mans com a resultat d'una filtració.
Desenvolupadors de navegadors afegiu el certificat arrel utilitzat per a la intercepció a la llista de revocació de certificats (OneCRL), com recentment Mozilla amb certificats de l'autoritat de certificació DarkMatter. Però el significat d'aquesta operació no és del tot clar (en discussions anteriors es va considerar inútil), ja que en el cas d'un "certificat de seguretat nacional" aquest certificat no està cobert inicialment per cadenes de confiança i sense que l'usuari instal·li el certificat, els navegadors ja mostren un avís. D'altra banda, la manca de resposta dels fabricants de navegadors pot afavorir la introducció de sistemes similars en altres països. Com a opció, també es proposa implementar un nou indicador per als certificats instal·lats localment atrapats en atacs MITM.
Font: opennet.ru