, и kündigte die Platzierung des „» zu den Zertifikatssperrlisten. Die Verwendung dieses Stammzertifikats führt nun zu einer Sicherheitswarnung in Firefox, Chrome/Chromium und Safari sowie in abgeleiteten Produkten, die auf deren Code basieren.
Erinnern wir uns daran, dass dies im Juli in Kasachstan der Fall war Einführung einer staatlichen Kontrolle über den sicheren Datenverkehr zu ausländischen Websites unter dem Vorwand, Benutzer zu schützen. Abonnenten mehrerer großer Anbieter wurden angewiesen, auf ihren Computern ein spezielles Root-Zertifikat zu installieren, das es den Anbietern ermöglichen würde, verschlüsselten Datenverkehr stillschweigend abzufangen und sich in HTTPS-Verbindungen einzuschleichen.
Zur gleichen Zeit gab es versucht, dieses Zertifikat in der Praxis zu verwenden, um den Datenverkehr zu Google, Facebook, Odnoklassniki, VKontakte, Twitter, YouTube und anderen Ressourcen zu fälschen. Beim Aufbau einer TLS-Verbindung wurde das echte Zertifikat der Zielseite durch ein neues, spontan generiertes Zertifikat ersetzt, das vom Browser als vertrauenswürdig markiert wurde, wenn das „nationale Sicherheitszertifikat“ vom Benutzer zum Stammzertifikatspeicher hinzugefügt wurde , da das Dummy-Zertifikat durch eine Vertrauenskette mit dem „nationalen Sicherheitszertifikat“ verbunden war. Ohne die Installation dieses Zertifikats war es nicht möglich, eine sichere Verbindung mit den genannten Seiten aufzubauen, ohne zusätzliche Tools wie Tor oder VPN zu verwenden.
Die ersten Versuche, sichere Verbindungen in Kasachstan auszuspionieren, gab es 2015, als die kasachische Regierung Stellen Sie sicher, dass das Stammzertifikat der kontrollierten Zertifizierungsstelle im Mozilla-Stammzertifikatspeicher enthalten ist. Die Prüfung ergab die Absicht, dieses Zertifikat zum Ausspionieren von Benutzern zu verwenden, und der Antrag wurde abgelehnt. Ein Jahr später gab es in Kasachstan solche
Änderungen des Kommunikationsgesetzes, die die Installation eines Zertifikats durch die Benutzer selbst vorschreiben, aber in der Praxis begann die Durchsetzung dieses Zertifikats erst Mitte Juli 2019.
Vor zwei Wochen erfolgte die Einführung eines „nationalen Sicherheitszertifikats“ mit der Erklärung, dass dies nur ein Test der Technologie sei. Die Anbieter wurden angewiesen, den Benutzern keine Zertifikate mehr aufzuerlegen, aber innerhalb von zwei Wochen nach der Implementierung hatten viele kasachische Benutzer das Zertifikat bereits installiert, sodass das Potenzial für das Abfangen des Datenverkehrs nicht verschwunden war. Mit der Einstellung des Projekts ist auch die Gefahr gestiegen, dass mit dem „nationalen Sicherheitszertifikat“ verbundene Verschlüsselungsschlüssel durch Datenlecks in andere Hände geraten (das generierte Zertifikat ist bis 2024 gültig).
Ein auferlegtes Zertifikat, das nicht verweigert werden kann, verstößt gegen das Verifizierungsschema für Zertifizierungsstellen, da die Behörde, die dieses Zertifikat erstellt hat, keinem Sicherheitsaudit unterzogen wurde, mit den Anforderungen an Zertifizierungsstellen nicht einverstanden war und nicht verpflichtet ist, die festgelegten Regeln einzuhalten, d.h. kann jedem Benutzer unter jedem Vorwand ein Zertifikat für jede Site ausstellen.
Mozilla ist der Ansicht, dass solche Aktivitäten die Sicherheit der Benutzer untergraben und im Widerspruch zum vierten Prinzip stehen , das Sicherheit und Datenschutz als grundlegende Faktoren betrachtet.
Source: opennet.ru