, и oznámil umístění „» do seznamů zneplatněných certifikátů. Použití tohoto kořenového certifikátu nyní povede k bezpečnostnímu varování v prohlížečích Firefox, Chrome/Chromium a Safari a také v odvozených produktech založených na jejich kódu.
Připomeňme, že v červenci v Kazachstánu bylo instalace vládní kontroly nad zabezpečeným provozem na cizí stránky pod záminkou ochrany uživatelů. Předplatitelům řady velkých poskytovatelů bylo nařízeno, aby si na své počítače instalovali speciální kořenový certifikát, který by poskytovatelům umožnil tiše zachytit šifrovaný provoz a vklínit se do připojení HTTPS.
Zároveň tam byly se pokouší použít tento certifikát v praxi ke zfalšování návštěvnosti služeb Google, Facebook, Odnoklassniki, VKontakte, Twitter, YouTube a dalších zdrojů. Po navázání připojení TLS byl skutečný certifikát cílového webu nahrazen novým certifikátem vygenerovaným za běhu, který byl prohlížečem označen jako důvěryhodný, pokud uživatel přidal „certifikát národní bezpečnosti“ do kořenového úložiště certifikátů. , protože fiktivní certifikát byl spojen řetězem důvěry s „certifikátem národní bezpečnosti“. Bez instalace tohoto certifikátu nebylo možné navázat bezpečné spojení se zmíněnými stránkami bez použití dalších nástrojů jako Tor nebo VPN.
První pokusy o špehování zabezpečených spojení v Kazachstánu byly provedeny v roce 2015, kdy kazašská vláda ujistěte se, že kořenový certifikát kontrolované certifikační autority je součástí úložiště kořenových certifikátů Mozilly. Audit odhalil záměr využít tento certifikát ke špehování uživatelů a aplikace byla zamítnuta. O rok později v Kazachstánu tam byli
novely zákona „o komunikacích“, které vyžadují instalaci certifikátu samotnými uživateli, ale v praxi bylo vymáhání tohoto certifikátu zahájeno až v polovině července 2019.
Před dvěma týdny bylo zavedeno „certifikát národní bezpečnosti“ s vysvětlením, že se jedná pouze o testování technologie. Poskytovatelé dostali pokyn, aby přestali uživatelům ukládat certifikáty, ale během dvou týdnů od implementace již mnoho kazašských uživatelů certifikát nainstalovalo, takže potenciál pro odposlechy provozu nezmizel. S ukončením projektu se také zvýšilo nebezpečí, že se šifrovací klíče spojené s „certifikátem národní bezpečnosti“ dostanou v důsledku úniku dat do jiných rukou (vygenerovaný certifikát má platnost do roku 2024).
Uložený certifikát, který nelze odmítnout, porušuje ověřovací schéma certifikačních center, neboť autorita, která tento certifikát vygenerovala, neprošla bezpečnostním auditem, nesouhlasila s požadavky na certifikační centra a není povinna dodržovat stanovená pravidla, tzn. může vystavit certifikát pro jakýkoli web kterémukoli uživateli pod jakoukoli záminkou.
Mozilla se domnívá, že taková aktivita podkopává bezpečnost uživatelů a je v rozporu se čtvrtým principem , která považuje bezpečnost a soukromí za základní faktory.
Zdroj: opennet.ru