V souladu s těmi, které platí v Kazachstánu od roku 2016 k zákonu o komunikacích, mnoho kazašských poskytovatelů, včetně ,
, и , ode dneška systémy pro zachycování klientského HTTPS provozu s náhradou původně použitého certifikátu. Původně se plánovalo zavedení odposlechového systému v roce 2016, ale tato operace byla neustále odkládána a zákon začal být vnímán jako formální. Provádí se odposlech obavy o bezpečnost uživatelů a přání chránit je před obsahem, který představuje hrozbu.
Chcete-li zakázat upozornění v prohlížečích na použití nesprávného certifikátu pro uživatele nainstalovat do svých systémů"“, který se používá při vysílání chráněného provozu na zahraniční stránky (např. již bylo zjištěno nahrazování provozu Facebooku).
Po navázání TLS spojení je skutečný certifikát cílového webu nahrazen novým certifikátem vygenerovaným za běhu, který bude prohlížečem označen jako důvěryhodný, pokud uživatel přidal „národní bezpečnostní certifikát“ do kořenového certifikátu. úložiště, protože fiktivní certifikát je spojen řetězem důvěry s „certifikátem národní bezpečnosti“ .
Ve skutečnosti je v Kazachstánu ochrana poskytovaná protokolem HTTPS zcela ohrožena a všechny požadavky HTTPS se příliš neliší od HTTP z hlediska možnosti sledování a nahrazování provozu zpravodajskými agenturami. Je nemožné kontrolovat zneužití v takovém schématu, včetně toho, pokud se šifrovací klíče spojené s „certifikátem národní bezpečnosti“ dostanou v důsledku úniku do jiných rukou.
Vývojáři prohlížečů přidejte kořenový certifikát používaný k zachycení do seznamu odvolaných certifikátů (OneCRL), jako nedávno Mozilla s certifikáty od certifikační autority DarkMatter. Smysl takové operace však není zcela jasný (v minulých diskuzích byla považována za zbytečnou), jelikož v případě „certifikátu národní bezpečnosti“ tento certifikát není zpočátku krytý řetězci důvěry a aniž by si uživatel certifikát nainstaloval, prohlížeče již zobrazí varování. Na druhou stranu nedostatečná odezva výrobců prohlížečů může povzbudit zavádění podobných systémů v jiných zemích. Volitelně se také navrhuje implementovat nový indikátor pro lokálně instalované certifikáty zachycené při útocích MITM.
Zdroj: opennet.ru