In cunfurmità cù quelli in vigore in Kazakhstan dapoi u 2016 à a Legge "On Communications", parechji fornituri kazakh, cumpresi ,
, и , da oghje Sistemi per intercepte u trafficu HTTPS di u cliente cù a sostituzione di u certificatu inizialmente utilizatu. In principiu, u sistema di intercepzioni hè stata pianificata per esse implementata in 2016, ma sta operazione hè stata constantemente postponata è a lege hà cuminciatu à esse percive cum'è formale. L'interception hè realizata Preoccupazioni nantu à a sicurità di l'utilizatori è a vulintà di prutezzione di u cuntenutu chì pone una minaccia.
Per disattivà l'avvirtimenti in i navigatori nantu à l'usu di un certificatu incorrectu à l'utilizatori stallà nantu à i vostri sistemi "", chì hè utilizatu quandu trasmette u trafficu prutettu à i siti stranieri (per esempiu, a sustituzione di u trafficu à Facebook hè stata rilevata).
Quandu una cunnessione TLS hè stabilita, u veru certificatu di u situ di destinazione hè rimpiazzatu da un novu certificatu generatu nantu à a mosca, chì serà marcatu da u navigatore cum'è affidabile se u "certificatu di sicurità naziunale" hè statu aghjuntu da l'utilizatore à u certificatu root. magazzini, postu chì u certificatu dummy hè ligatu da una catena di fiducia cù u "certificatu di sicurità naziunale".
In fatti, in u Kazakistan, a prutezzione furnita da u protocolu HTTPS hè cumplettamente cumprumessa, è tutte e dumande HTTPS ùn sò micca assai diffirenti da HTTP da u puntu di vista di a pussibilità di seguimentu è di sustituzione di u trafficu da l'agenzii di intelligenza. Hè impussibile di cuntrullà l'abusi in un tali schema, ancu se i chjavi di criptografia assuciati cù u "certificatu di sicurezza naziunale" cascanu in altre mani per via di una fuga.
Sviluppatori di navigatori aghjunghje u certificatu radice utilizatu per l'intercepzione à a lista di revocazione di certificati (OneCRL), cum'è recentemente Mozilla cù certificati da l'autorità di certificazione DarkMatter. Ma u significatu di una tale operazione ùn hè micca sanu sanu chjaru (in discussioni passate era cunsideratu inutile), postu chì in u casu di un "certificatu di sicurezza naziunale" stu certificatu ùn hè inizialmente coperto da catene di fiducia è senza chì l'utilizatore installate u certificatu. i navigatori mostranu digià un avvisu. Per d 'altra banda, a mancanza di risposta da i pruduttori di u navigatore pò incuragisce l'intruduzioni di sistemi simili in altri paesi. Comu opzione, hè ancu prupostu di implementà un novu indicatore per i certificati installati in u locu catturati in attacchi MITM.
Source: opennet.ru