, и ανακοίνωσε την τοποθέτηση του «» στις λίστες ανάκλησης πιστοποιητικών. Η χρήση αυτού του πιστοποιητικού ρίζας θα έχει πλέον ως αποτέλεσμα μια προειδοποίηση ασφαλείας σε Firefox, Chrome/Chromium και Safari, καθώς και σε παράγωγα προϊόντα με βάση τον κώδικά τους.
Να θυμίσουμε ότι τον Ιούλιο στο Καζακστάν υπήρχε εγκατάσταση κυβερνητικού ελέγχου για την ασφαλή κίνηση σε ξένους ιστότοπους με το πρόσχημα της προστασίας των χρηστών. Οι συνδρομητές ορισμένων μεγάλων παρόχων έλαβαν εντολή να εγκαταστήσουν ένα ειδικό πιστοποιητικό ρίζας στους υπολογιστές τους, το οποίο θα επέτρεπε στους παρόχους να παρακολουθούν αθόρυβα την κρυπτογραφημένη κίνηση και να ενσωματώνουν τις συνδέσεις HTTPS.
Ταυτόχρονα υπήρχαν επιχειρεί να χρησιμοποιήσει αυτό το πιστοποιητικό στην πράξη για να παραπλανήσει την επισκεψιμότητα στο Google, το Facebook, την Odnoklassniki, το VKontakte, το Twitter, το YouTube και άλλους πόρους. Όταν δημιουργήθηκε μια σύνδεση TLS, το πραγματικό πιστοποιητικό του ιστότοπου προορισμού αντικαταστάθηκε από ένα νέο πιστοποιητικό που δημιουργήθηκε εν κινήσει, το οποίο επισημάνθηκε από το πρόγραμμα περιήγησης ως αξιόπιστο εάν το "εθνικό πιστοποιητικό ασφαλείας" προστέθηκε από τον χρήστη στο χώρο αποθήκευσης πιστοποιητικών ρίζας , δεδομένου ότι το εικονικό πιστοποιητικό συνδέθηκε από μια αλυσίδα εμπιστοσύνης με το «εθνικό πιστοποιητικό ασφαλείας». Χωρίς την εγκατάσταση αυτού του πιστοποιητικού, δεν ήταν δυνατή η δημιουργία ασφαλούς σύνδεσης με τους αναφερόμενους ιστότοπους χωρίς τη χρήση πρόσθετων εργαλείων όπως το Tor ή το VPN.
Οι πρώτες προσπάθειες κατασκοπείας ασφαλών συνδέσεων στο Καζακστάν έγιναν το 2015, όταν η κυβέρνηση του Καζακστάν βεβαιωθείτε ότι το πιστοποιητικό ρίζας της ελεγχόμενης αρχής πιστοποίησης περιλαμβάνεται στο χώρο αποθήκευσης πιστοποιητικών ρίζας Mozilla. Ο έλεγχος αποκάλυψε την πρόθεση χρήσης αυτού του πιστοποιητικού για κατασκοπεία χρηστών και η αίτηση απορρίφθηκε. Ένα χρόνο αργότερα στο Καζακστάν υπήρχαν
τροποποιήσεις του Νόμου «Περί Επικοινωνιών», που απαιτούν την εγκατάσταση πιστοποιητικού από τους ίδιους τους χρήστες, αλλά στην πράξη, η επιβολή αυτού του πιστοποιητικού ξεκίνησε μόλις στα μέσα Ιουλίου 2019.
Πριν από δύο εβδομάδες, η εισαγωγή ενός «πιστοποιητικού εθνικής ασφάλειας» με την εξήγηση ότι αυτό ήταν μόνο δοκιμή της τεχνολογίας. Οι πάροχοι έλαβαν οδηγίες να σταματήσουν να επιβάλλουν πιστοποιητικά στους χρήστες, αλλά μέσα σε δύο εβδομάδες από την εφαρμογή, πολλοί χρήστες του Καζακστάν είχαν ήδη εγκαταστήσει το πιστοποιητικό, επομένως η πιθανότητα παρακολούθησης της κυκλοφορίας δεν εξαφανίστηκε. Με τη λήξη του έργου, αυξήθηκε επίσης ο κίνδυνος να πέσουν σε άλλα χέρια τα κλειδιά κρυπτογράφησης που σχετίζονται με το «εθνικό πιστοποιητικό ασφαλείας» ως αποτέλεσμα διαρροής δεδομένων (το πιστοποιητικό που δημιουργείται ισχύει έως το 2024).
Ένα επιβεβλημένο πιστοποιητικό που δεν μπορεί να απορριφθεί παραβιάζει το σύστημα επαλήθευσης για τα κέντρα πιστοποίησης, καθώς η αρχή που δημιούργησε αυτό το πιστοποιητικό δεν υποβλήθηκε σε έλεγχο ασφαλείας, δεν συμφωνούσε με τις απαιτήσεις για τα κέντρα πιστοποίησης και δεν υποχρεούται να ακολουθεί τους καθιερωμένους κανόνες, δηλ. μπορεί να εκδώσει πιστοποιητικό για οποιονδήποτε ιστότοπο σε οποιονδήποτε χρήστη με οποιοδήποτε πρόσχημα.
Η Mozilla πιστεύει ότι μια τέτοια δραστηριότητα υπονομεύει την ασφάλεια των χρηστών και είναι αντίθετη με την τέταρτη αρχή , η οποία θεωρεί την ασφάλεια και το απόρρητο ως θεμελιώδεις παράγοντες.
Πηγή: opennet.ru