Yn unol â'r rhai sydd mewn grym yn Kazakhstan ers 2016 i'r Gyfraith “Ar Gyfathrebu”, llawer o ddarparwyr Kazakh, gan gynnwys ,
, и , o heddiw ymlaen systemau ar gyfer rhyng-gipio traffig HTTPS cleient gan ddisodli'r dystysgrif a ddefnyddiwyd yn wreiddiol. I ddechrau, y bwriad oedd gweithredu'r system rhyng-gipio yn 2016, ond gohiriwyd y llawdriniaeth hon yn gyson a dechreuwyd gweld y gyfraith yn ffurfiol. Cynhelir rhyng-gipio pryderon am ddiogelwch defnyddwyr a'r awydd i'w hamddiffyn rhag cynnwys sy'n peri bygythiad.
Analluogi rhybuddion mewn porwyr am ddefnyddio tystysgrif anghywir i ddefnyddwyr gosod ar eich systemau"“, a ddefnyddir wrth ddarlledu traffig gwarchodedig i wefannau tramor (er enghraifft, mae amnewid traffig i Facebook eisoes wedi'i ganfod).
Pan sefydlir cysylltiad TLS, mae tystysgrif go iawn y safle targed yn cael ei disodli gan dystysgrif newydd a gynhyrchir ar y hedfan, a fydd yn cael ei nodi gan y porwr fel un ddibynadwy os ychwanegwyd y “dystysgrif diogelwch cenedlaethol” gan y defnyddiwr at y dystysgrif gwraidd storfa, gan fod y dystysgrif ffug wedi'i chysylltu gan gadwyn ymddiriedaeth â'r “dystysgrif diogelwch cenedlaethol”.
Mewn gwirionedd, yn Kazakhstan, mae'r amddiffyniad a ddarperir gan brotocol HTTPS yn cael ei beryglu'n llwyr, ac nid yw pob cais HTTPS yn wahanol iawn i HTTP o safbwynt y posibilrwydd o olrhain ac amnewid traffig gan asiantaethau cudd-wybodaeth. Mae'n amhosibl rheoli camddefnydd mewn cynllun o'r fath, gan gynnwys os yw allweddi amgryptio sy'n gysylltiedig â'r “dystysgrif diogelwch cenedlaethol” yn disgyn i ddwylo eraill o ganlyniad i ollyngiad.
Datblygwyr porwr ychwanegwch y dystysgrif gwraidd a ddefnyddir ar gyfer rhyng-gipio i'r rhestr dirymu tystysgrif (OneCRL), fel yn ddiweddar Mozilla gyda thystysgrifau gan awdurdod ardystio DarkMatter. Ond nid yw ystyr gweithrediad o'r fath yn gwbl glir (mewn trafodaethau blaenorol fe'i hystyriwyd yn ddiwerth), oherwydd yn achos “tystysgrif diogelwch cenedlaethol” nid yw'r dystysgrif hon wedi'i chwmpasu i ddechrau gan gadwyni ymddiriedaeth a heb i'r defnyddiwr osod y dystysgrif, bydd porwyr eisoes yn dangos rhybudd. Ar y llaw arall, gall y diffyg ymateb gan weithgynhyrchwyr porwyr annog cyflwyno systemau tebyg mewn gwledydd eraill. Fel opsiwn, cynigir hefyd gweithredu dangosydd newydd ar gyfer tystysgrifau a osodwyd yn lleol sy'n cael eu dal mewn ymosodiadau MITM.
Ffynhonnell: opennet.ru