I overensstemmelse med dem, der har været gældende i Kasakhstan siden 2016 til loven "om kommunikation", mange kasakhiske udbydere, herunder ,
, и , fra i dag systemer til at opsnappe klient HTTPS-trafik med erstatning af det oprindeligt brugte certifikat. Oprindeligt var det planlagt, at aflytningssystemet skulle implementeres i 2016, men denne operation blev konstant udskudt, og loven begyndte at blive opfattet som formel. Aflytning udføres bekymringer om brugernes sikkerhed og ønsket om at beskytte dem mod indhold, der udgør en trussel.
For at deaktivere advarsler i browsere om brugen af et forkert certifikat til brugere installer på dine systemer"“, som bruges ved udsendelse af beskyttet trafik til udenlandske websteder (for eksempel er trafiksubstitution til Facebook allerede blevet registreret).
Når en TLS-forbindelse er etableret, erstattes det rigtige certifikat for målstedet med et nyt certifikat, der genereres i farten, som vil blive markeret af browseren som troværdigt, hvis "det nationale sikkerhedscertifikat" blev tilføjet af brugeren til rodcertifikatet butik, da dummy-certifikatet er forbundet af en tillidskæde med det "nationale sikkerhedscertifikat" .
Faktisk er beskyttelsen fra HTTPS-protokollen fuldstændig kompromitteret i Kasakhstan, og alle HTTPS-anmodninger er ikke meget forskellige fra HTTP ud fra et synspunkt om muligheden for sporing og substitution af trafik fra efterretningsbureauer. Det er umuligt at kontrollere misbrug i en sådan ordning, herunder hvis krypteringsnøgler forbundet med "det nationale sikkerhedscertifikat" kommer i andre hænder som følge af en lækage.
Browser udviklere tilføj rodcertifikatet, der bruges til aflytning, til listen over tilbagekaldelse af certifikater (OneCRL), som for nylig Mozilla med certifikater fra DarkMatter certificeringsmyndigheden. Men betydningen af en sådan operation er ikke helt klar (i tidligere diskussioner blev den betragtet som ubrugelig), da i tilfælde af et "nationalt sikkerhedscertifikat" er dette certifikat i første omgang ikke dækket af tillidskæder og uden at brugeren har installeret certifikatet, browsere viser allerede en advarsel. På den anden side kan den manglende respons fra browserproducenterne tilskynde til introduktion af lignende systemer i andre lande. Som en mulighed foreslås det også at implementere en ny indikator for lokalt installerede certifikater fanget i MITM-angreb.
Kilde: opennet.ru