I overensstemmelse med dem, der har været gældende i Kasakhstan siden 2016 til loven "om kommunikation", mange kasakhiske udbydere, herunder ,
, и , fra i dag systemer til at opsnappe klient HTTPS-trafik med erstatning af det oprindeligt brugte certifikat. Oprindeligt var det planlagt, at aflytningssystemet skulle implementeres i 2016, men denne operation blev konstant udskudt, og loven begyndte at blive opfattet som formel. Aflytning udføres bekymringer om brugernes sikkerhed og ønsket om at beskytte dem mod indhold, der udgør en trussel.
For at deaktivere advarsler i browsere om brugen af et forkert certifikat til brugere installer på dine systemer"", som bruges ved overførsel af sikker trafik til udenlandske websteder (for eksempel er trafiksubstitution til Facebook allerede blevet registreret).
Når en TLS-forbindelse er etableret, erstattes det rigtige certifikat for målstedet med et nyt certifikat, der genereres i farten, som vil blive markeret af browseren som troværdigt, hvis "det nationale sikkerhedscertifikat" blev tilføjet af brugeren til rodcertifikatet butik, da dummy-certifikatet er forbundet af en tillidskæde med det "nationale sikkerhedscertifikat" .
I det væsentlige er beskyttelsen fra HTTPS-protokollen fuldstændig kompromitteret i Kasakhstan, og alle HTTPS-anmodninger er ikke meget forskellige fra HTTP med hensyn til muligheden for at spore og erstatte trafik med specielle tjenester. Det er umuligt at kontrollere misbrug i en sådan ordning, herunder når krypteringsnøgler forbundet med "det nationale sikkerhedscertifikat" kommer i andre hænder som følge af en lækage.
Browser udviklere føj rodcertifikatet, der bruges til aflytning, til listen over tilbagekaldte certifikater (OneCRL), som Mozilla for nylig gjorde med certifikater fra DarkMatter certificeringsmyndigheden. Men betydningen af en sådan operation er ikke helt klar (i tidligere diskussioner blev den betragtet som ubrugelig), da i tilfælde af et "nationalt sikkerhedscertifikat" er dette certifikat i første omgang ikke dækket af tillidskæder, og uden at brugeren installerer certifikatet, vil browsere alligevel vise en advarsel. På den anden side kan manglen på svar fra browserproducenter tilskynde til introduktion af lignende systemer i andre lande. Som en mulighed foreslås det også at implementere en ny indikator for lokalt installerede certifikater fanget i MITM-angreb.
Kilde: opennet.ru
