In Kasachstan haben mehrere große Anbieter die Abfangung von HTTPS-Verkehr eingeführt.

Gemäß den seit 2016 in Kasachstan geltenden Änderungen des Gesetzes „Über die Kommunikation“, haben viele kasachische Anbieter, darunter Kcell,
Beeline, Tele2 und Altel, ab heute die Systeme zur Abfangung von HTTPS-Verkehr von Kunden in Betrieb genommen. Ursprünglich war geplant, das Abfangesystem bereits 2016 einzuführen, jedoch wurde dieser Prozess ständig verschoben, sodass das Gesetz inzwischen als formell angesehen wird. Der Abfang erfolgt unter dem Deckmantel der Sorge um die Sicherheit der Nutzer und dem Bestreben, sie vor bedrohlichen Inhalten zu schützen.

Um die Warnmeldung in den Browsern über die Verwendung eines ungültigen Zertifikats zu deaktivieren, müssen die Nutzer eine Anweisung erhalten um das „nationale Sicherheitszertifikat„ zu installieren, das bei der Übertragung von geschütztem Verkehr zu ausländischen Websites verwendet wird (zum Beispiel wird bereits eine Veränderung des Verkehrs zu Facebook festgestellt).

Bei der TLS-Verbindung wird das echte Zertifikat der Zielwebsite durch ein neu generiertes Zertifikat ersetzt, das als vertrauenswürdig gekennzeichnet wird, wenn der „nationale Sicherheitszertifikat“ vom Benutzer im Speicher der Stammzertifikate hinzugefügt wurde, da das Ersatzzertifikat durch eine Vertrauenskette mit dem „nationalen Sicherheitszertifikat“ verbunden ist.

In Kasachstan ist der durch das HTTPS-Protokoll bereitgestellte Schutz im Grunde vollständig kompromittiert, und alle HTTPS-Anfragen unterscheiden sich in Bezug auf die Möglichkeit der Überwachung und Manipulation des Datenverkehrs durch Geheimdienste kaum von HTTP. Missbräuche in diesem System können nicht kontrolliert werden, auch nicht, wenn die mit dem „nationalen Sicherheitszertifikat“ verbundenen Verschlüsselungsschlüssel in andere Hände gelangen.

Browserentwickler betrachten Vorschlag den für die Abfangung verwendeten Stammzertifikat in die Liste der widerrufenen Zertifikate (OneCRL) aufzunehmen, wie es kürzlich Mozilla getan hat. hat mit Zertifikaten der Zertifizierungsstelle DarkMatter. Der Sinn dieser Maßnahme ist jedoch nicht ganz klar (in früheren Diskussionen wurde sie als nutzlos erachtet), da bei einem „nationalen Sicherheitszertifikat“ dieses Zertifikat von vornherein nicht von Vertrauensketten abgedeckt ist, und ohne die manuelle Installation des Zertifikats durch den Benutzer zeigen Browser ohnehin eine Warnung an. Andererseits könnte das Fehlen einer Reaktion seitens der Browserhersteller die Einführung ähnlicher Systeme in anderen Ländern anregen. Es wird auch vorgeschlagen, einen neuen Indikator für lokal installierte Zertifikate umzusetzen, die in MITM-Angriffe verwickelt sind.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster