, и cyhoeddi lleoliad y “» i'r rhestrau diddymu tystysgrifau. Bydd defnyddio'r dystysgrif gwraidd hon nawr yn arwain at rybudd diogelwch yn Firefox, Chrome/Chromium, a Safari, yn ogystal â chynhyrchion deilliadol yn seiliedig ar eu cod.
Gadewch inni gofio bod yna ym mis Gorffennaf yn Kazakhstan gosod rheolaeth gan y llywodraeth dros draffig diogel i safleoedd tramor o dan yr esgus o ddiogelu defnyddwyr. Gorchmynnwyd tanysgrifwyr nifer o ddarparwyr mawr i osod tystysgrif gwraidd arbennig ar eu cyfrifiaduron, a fyddai'n caniatáu i'r darparwyr ryng-gipio traffig wedi'i amgryptio yn dawel a lletem i mewn i gysylltiadau HTTPS.
Ar yr un pryd roedd ymdrechion i ddefnyddio'r dystysgrif hon yn ymarferol i ffugio traffig i Google, Facebook, Odnoklassniki, VKontakte, Twitter, YouTube ac adnoddau eraill. Pan sefydlwyd cysylltiad TLS, disodlwyd tystysgrif go iawn y safle targed gan dystysgrif newydd a gynhyrchwyd ar y hedfan, a farciwyd gan y porwr fel un ddibynadwy pe bai'r defnyddiwr yn ychwanegu'r “dystysgrif diogelwch cenedlaethol” i'r storfa tystysgrif gwraidd. , gan fod y dystysgrif ffug wedi'i chysylltu gan gadwyn o ymddiriedaeth â'r “dystysgrif diogelwch cenedlaethol”. Heb osod y dystysgrif hon, nid oedd yn bosibl sefydlu cysylltiad diogel â'r gwefannau a grybwyllwyd heb ddefnyddio offer ychwanegol fel Tor neu VPN.
Gwnaed yr ymdrechion cyntaf i ysbïo ar gysylltiadau diogel yn Kazakhstan yn 2015, pan ddaeth llywodraeth Kazakh sicrhau bod tystysgrif gwraidd yr awdurdod ardystio rheoledig wedi'i chynnwys yn storfa tystysgrif gwraidd Mozilla. Datgelodd yr archwiliad fwriad i ddefnyddio'r dystysgrif hon i ysbïo ar ddefnyddwyr a gwrthodwyd y cais. Flwyddyn yn ddiweddarach yn Kazakhstan roedd
diwygiadau i'r Gyfraith "Ar Gyfathrebu", sy'n ei gwneud yn ofynnol i'r defnyddwyr eu hunain osod tystysgrif, ond yn ymarferol, dim ond yng nghanol mis Gorffennaf 2019 y dechreuodd gorfodi'r dystysgrif hon.
Bythefnos yn ôl, cyflwyno "tystysgrif diogelwch cenedlaethol" gyda'r esboniad mai dim ond profi'r dechnoleg oedd hyn. Cyfarwyddwyd darparwyr i roi'r gorau i orfodi tystysgrifau ar ddefnyddwyr, ond o fewn pythefnos o weithredu, roedd llawer o ddefnyddwyr Kazakh eisoes wedi gosod y dystysgrif, felly ni ddiflannodd y potensial ar gyfer rhyng-gipio traffig. Gyda dirwyn y prosiect i ben, mae'r perygl y bydd allweddi amgryptio sy'n gysylltiedig â'r “dystysgrif diogelwch cenedlaethol” yn disgyn i ddwylo eraill o ganlyniad i ollwng data hefyd wedi cynyddu (mae'r dystysgrif a gynhyrchir yn ddilys tan 2024).
Mae tystysgrif osodedig na ellir ei gwrthod yn torri'r cynllun dilysu ar gyfer canolfannau ardystio, gan na chynhaliodd yr awdurdod a gynhyrchodd y dystysgrif hon archwiliad diogelwch, nad oedd yn cytuno â'r gofynion ar gyfer canolfannau ardystio ac nid yw'n ofynnol iddo ddilyn y rheolau sefydledig, h.y. yn gallu rhoi tystysgrif ar gyfer unrhyw wefan i unrhyw ddefnyddiwr o dan unrhyw esgus.
Mae Mozilla yn credu bod gweithgaredd o'r fath yn tanseilio diogelwch defnyddwyr ac yn groes i'r bedwaredd egwyddor , sy'n ystyried diogelwch a phreifatrwydd fel ffactorau sylfaenol.
Ffynhonnell: opennet.ru