Konforme al tiuj, kiuj validas en Kazaĥio ekde 2016 al la Leĝo "Pri Komunikado", multaj kazaĥaj provizantoj, inkluzive ,
, и , de hodiaŭ sistemoj por kapti klientan HTTPS-trafikon kun anstataŭigo de la komence uzata atestilo. Komence, la interkapta sistemo estis planita por esti efektivigita en 2016, sed ĉi tiu operacio estis konstante prokrastita kaj la leĝo komencis esti perceptita kiel formala. Interkapto estas efektivigita zorgoj pri la sekureco de uzantoj kaj la deziro protekti ilin kontraŭ enhavo, kiu prezentas minacon.
Malŝalti avertojn en retumiloj pri la uzo de malĝusta atestilo al uzantoj instalu en viaj sistemoj"", kiu estas uzata dum dissendado de protektita trafiko al eksterlandaj retejoj (ekzemple, trafika anstataŭigo al Facebook jam estis detektita).
Kiam TLS-konekto estas establita, la reala atestilo de la cela retejo estas anstataŭigita per nova atestilo generita sur la flugo, kiu estos markita de la retumilo kiel fidinda se la "nacia sekureca atestilo" estis aldonita de la uzanto al la radika atestilo. vendejo, ĉar la falsa atestilo estas ligita per ĉeno de fido kun la "nacia sekureca atestilo".
Fakte, en Kazaĥio, la protekto provizita de la HTTPS-protokolo estas tute kompromitita, kaj ĉiuj HTTPS-petoj ne multe diferencas de HTTP el la vidpunkto de la ebleco de spurado kaj anstataŭigo de trafiko per spionaj agentejoj. Estas neeble kontroli misuzoj en tia skemo, inkluzive se ĉifraj ŝlosiloj asociitaj kun la "nacia sekureca atestilo" falas en aliajn manojn kiel rezulto de liko.
Programistoj de retumilo aldonu la radikan atestilon uzatan por interkapto al la atestilisto (OneCRL), kiel lastatempe Mozilla kun atestiloj de la atestila aŭtoritato DarkMatter. Sed la signifo de tia operacio ne estas tute klara (en pasintaj diskutoj ĝi estis konsiderita senutila), ĉar en la kazo de "nacia sekureca atestilo" ĉi tiu atestilo ne estas komence kovrita de ĉenoj de fido kaj sen la uzanto instali la atestilon, retumiloj jam montros averton. Aliflanke, la manko de respondo de foliumiloj povas instigi la enkondukon de similaj sistemoj en aliaj landoj. Kiel opcio, estas ankaŭ proponite efektivigi novan indikilon por loke instalitaj atestiloj kaptitaj en MITM-atakoj.
fonto: opennet.ru