, и annonceret placeringen af "» til certifikatspærringslisterne. Brug af dette rodcertifikat vil nu resultere i en sikkerhedsadvarsel i Firefox, Chrome/Chromium og Safari, samt afledte produkter baseret på deres kode.
Lad os huske på, at der i juli i Kasakhstan var installere regeringskontrol over sikker trafik til udenlandske websteder under påskud af at beskytte brugere. Abonnenter fra en række store udbydere blev beordret til at installere et særligt rodcertifikat på deres computere, som ville give udbyderne mulighed for stille og roligt at opsnappe krypteret trafik og kile ind i HTTPS-forbindelser.
Samtidig var der forsøger at bruge dette certifikat i praksis til at forfalske trafik til Google, Facebook, Odnoklassniki, VKontakte, Twitter, YouTube og andre ressourcer. Når en TLS-forbindelse blev etableret, blev det rigtige certifikat for målwebstedet erstattet af et nyt certifikat, der blev genereret i farten, som blev markeret af browseren som troværdigt, hvis "det nationale sikkerhedscertifikat" blev tilføjet af brugeren til rodcertifikatlageret , da attrapcertifikatet var forbundet af en tillidskæde til det "nationale sikkerhedscertifikat". Uden at installere dette certifikat var det ikke muligt at etablere en sikker forbindelse med de nævnte sider uden at bruge yderligere værktøjer såsom Tor eller VPN.
De første forsøg på at spionere på sikre forbindelser i Kasakhstan blev gjort i 2015, da den kasakhiske regering sikre, at rodcertifikatet for den kontrollerede certificeringsmyndighed er inkluderet i Mozilla-rodcertifikatlageret. Revisionen afslørede en hensigt om at bruge dette certifikat til at spionere på brugere, og ansøgningen blev afvist. Et år senere var der i Kasakhstan
ændringer til loven "om kommunikation", der kræver installation af et certifikat af brugerne selv, men i praksis begyndte håndhævelsen af dette certifikat først i midten af juli 2019.
For to uger siden, indførelsen af et "nationalt sikkerhedscertifikat" med den forklaring, at dette kun var at teste teknologien. Udbydere blev bedt om at stoppe med at pålægge brugere certifikater, men inden for to uger efter implementeringen havde mange kasakhiske brugere allerede installeret certifikatet, så potentialet for trafikaflytning forsvandt ikke. Med afviklingen af projektet er faren for, at krypteringsnøgler forbundet med "det nationale sikkerhedscertifikat" kommer i andre hænder som følge af datalækage, også øget (det genererede certifikat er gyldigt indtil 2024).
Et pålagt certifikat, der ikke kan nægtes, overtræder verifikationsordningen for certificeringscentre, da den myndighed, der har genereret dette certifikat, ikke har gennemgået en sikkerhedsrevision, ikke var enig i kravene til certificeringscentre og ikke er forpligtet til at følge de fastsatte regler, dvs. kan udstede et certifikat for ethvert websted til enhver bruger under ethvert påskud.
Mozilla mener, at en sådan aktivitet underminerer brugersikkerheden og er i modstrid med det fjerde princip , som betragter sikkerhed og privatliv som grundlæggende faktorer.
Kilde: opennet.ru