Gemäß den seit 2016 in Kasachstan geltenden des Gesetzes „Über die Kommunikation“, haben viele kasachische Anbieter, darunter ,
, und , ab heute Ursprünglich war geplant, das Abfangesystem bereits 2016 einzuführen, jedoch wurde dieser Prozess ständig verschoben, sodass das Gesetz inzwischen als formell angesehen wird. Der Abfang erfolgt der Sorge um die Sicherheit der Nutzer und dem Bestreben, sie vor bedrohlichen Inhalten zu schützen.
Um die Warnmeldung in den Browsern über die Verwendung eines ungültigen Zertifikats zu deaktivieren, müssen die Nutzer um das „„ zu installieren, das bei der Übertragung von geschütztem Verkehr zu ausländischen Websites verwendet wird (zum Beispiel wird bereits eine Veränderung des Verkehrs zu Facebook festgestellt).
Bei der TLS-Verbindung wird das echte Zertifikat der Zielwebsite durch ein neu generiertes Zertifikat ersetzt, das als vertrauenswürdig gekennzeichnet wird, wenn der „nationale Sicherheitszertifikat“ vom Benutzer im Speicher der Stammzertifikate hinzugefügt wurde, da das Ersatzzertifikat durch eine Vertrauenskette mit dem „nationalen Sicherheitszertifikat“ verbunden ist.
In Kasachstan ist der durch das HTTPS-Protokoll bereitgestellte Schutz im Grunde vollständig kompromittiert, und alle HTTPS-Anfragen unterscheiden sich in Bezug auf die Möglichkeit der Überwachung und Manipulation des Datenverkehrs durch Geheimdienste kaum von HTTP. Missbräuche in diesem System können nicht kontrolliert werden, auch nicht, wenn die mit dem „nationalen Sicherheitszertifikat“ verbundenen Verschlüsselungsschlüssel in andere Hände gelangen.
Browserentwickler den für die Abfangung verwendeten Stammzertifikat in die Liste der widerrufenen Zertifikate (OneCRL) aufzunehmen, wie es kürzlich Mozilla getan hat. mit Zertifikaten der Zertifizierungsstelle DarkMatter. Der Sinn dieser Maßnahme ist jedoch nicht ganz klar (in früheren Diskussionen wurde sie als nutzlos erachtet), da bei einem „nationalen Sicherheitszertifikat“ dieses Zertifikat von vornherein nicht von Vertrauensketten abgedeckt ist, und ohne die manuelle Installation des Zertifikats durch den Benutzer zeigen Browser ohnehin eine Warnung an. Andererseits könnte das Fehlen einer Reaktion seitens der Browserhersteller die Einführung ähnlicher Systeme in anderen Ländern anregen. Es wird auch vorgeschlagen, einen neuen Indikator für lokal installierte Zertifikate umzusetzen, die in MITM-Angriffe verwickelt sind.
Quelle: opennet.ru
