In Übereinstimmung mit den in Kasachstan seit 2016 geltenden Vorschriften Viele kasachische Anbieter unterliegen dem Gesetz „Über Kommunikation“, darunter ,
, и , von heute Systeme zum Abfangen des Client-HTTPS-Verkehrs unter Ersetzung des ursprünglich verwendeten Zertifikats. Ursprünglich war die Einführung des Abhörsystems im Jahr 2016 geplant, doch dieser Vorgang wurde ständig verschoben und das Gesetz begann als formell wahrgenommen zu werden. Das Abfangen wird durchgeführt Bedenken hinsichtlich der Sicherheit der Benutzer und der Wunsch, sie vor Inhalten zu schützen, die eine Bedrohung darstellen.
Um Warnungen in Browsern für Benutzer über die Verwendung eines falschen Zertifikats zu deaktivieren auf Ihren Systemen installieren“„, das bei der Übertragung von geschütztem Datenverkehr an fremde Websites verwendet wird (z. B. wurde bereits eine Verkehrssubstitution an Facebook erkannt).
Wenn eine TLS-Verbindung hergestellt wird, wird das echte Zertifikat der Zielseite durch ein neues, spontan generiertes Zertifikat ersetzt, das vom Browser als vertrauenswürdig markiert wird, wenn das „nationale Sicherheitszertifikat“ vom Benutzer zum Stammzertifikat hinzugefügt wurde speichern, da das Dummy-Zertifikat über eine Vertrauenskette mit dem „nationalen Sicherheitszertifikat“ verbunden ist.
Tatsächlich ist in Kasachstan der durch das HTTPS-Protokoll gebotene Schutz völlig gefährdet, und alle HTTPS-Anfragen unterscheiden sich nicht wesentlich von HTTP, was die Möglichkeit der Verfolgung und Ersetzung des Datenverkehrs durch Geheimdienste betrifft. Es ist unmöglich, Missbräuche in einem solchen System zu kontrollieren, auch wenn die mit dem „nationalen Sicherheitszertifikat“ verbundenen Verschlüsselungsschlüssel aufgrund eines Lecks in andere Hände geraten.
Browser-Entwickler Fügen Sie das zum Abfangen verwendete Stammzertifikat zur Zertifikatssperrliste (OneCRL) hinzu, wie kürzlich Mozilla mit Zertifikaten der DarkMatter-Zertifizierungsstelle. Die Bedeutung einer solchen Operation ist jedoch nicht ganz klar (in früheren Diskussionen wurde sie als nutzlos angesehen), da im Fall eines „nationalen Sicherheitszertifikats“ dieses Zertifikat zunächst nicht durch Vertrauensketten abgedeckt ist und ohne dass der Benutzer das Zertifikat installiert, Browser zeigen bereits eine Warnung an. Andererseits könnte die mangelnde Reaktion der Browserhersteller die Einführung ähnlicher Systeme in anderen Ländern fördern. Als Option wird außerdem vorgeschlagen, einen neuen Indikator für lokal installierte Zertifikate zu implementieren, die bei MITM-Angriffen erfasst werden.
Source: opennet.ru