, и anunció la colocación del “» a las listas de revocación de certificados. El uso de este certificado raíz ahora generará una advertencia de seguridad en Firefox, Chrome/Chromium y Safari, así como en productos derivados basados en su código.
Recordemos que en julio en Kazajstán hubo instalación de control gubernamental sobre el tráfico seguro a sitios extranjeros con el pretexto de proteger a los usuarios. A los suscriptores de varios grandes proveedores se les ordenó instalar un certificado raíz especial en sus computadoras, lo que permitiría a los proveedores interceptar silenciosamente el tráfico cifrado e introducirse en las conexiones HTTPS.
Al mismo tiempo hubo intenta utilizar este certificado en la práctica para falsificar el tráfico a Google, Facebook, Odnoklassniki, VKontakte, Twitter, YouTube y otros recursos. Cuando se establecía una conexión TLS, el certificado real del sitio de destino era reemplazado por un nuevo certificado generado sobre la marcha, que el navegador marcaba como confiable si el usuario agregaba el "certificado de seguridad nacional" al almacén de certificados raíz. , ya que el certificado ficticio estaba vinculado por una cadena de confianza al “certificado de seguridad nacional”. Sin instalar este certificado, no era posible establecer una conexión segura con los sitios mencionados sin utilizar herramientas adicionales como Tor o VPN.
Los primeros intentos de espiar conexiones seguras en Kazajstán se realizaron en 2015, cuando el gobierno kazajo asegúrese de que el certificado raíz de la autoridad de certificación controlada esté incluido en el almacén de certificados raíz de Mozilla. La auditoría reveló una intención de utilizar este certificado para espiar a los usuarios y la solicitud fue rechazada. Un año más tarde en Kazajstán había
modificaciones a la Ley "Sobre Comunicaciones", que exigen la instalación de un certificado por parte de los propios usuarios, pero en la práctica, la aplicación de este certificado no comenzó hasta mediados de julio de 2019.
Hace dos semanas, la introducción de un “certificado de seguridad nacional” con la explicación de que esto solo era probar la tecnología. Se ordenó a los proveedores que dejaran de imponer certificados a los usuarios, pero dos semanas después de la implementación, muchos usuarios kazajos ya habían instalado el certificado, por lo que el potencial de interceptación del tráfico no desapareció. Con la finalización del proyecto, también ha aumentado el peligro de que las claves de cifrado asociadas con el “certificado de seguridad nacional” caigan en otras manos como resultado de la fuga de datos (el certificado generado es válido hasta 2024).
Un certificado impuesto que no puede rechazarse viola el esquema de verificación de los centros de certificación, ya que la autoridad que generó este certificado no se sometió a una auditoría de seguridad, no estuvo de acuerdo con los requisitos para los centros de certificación y no está obligada a seguir las reglas establecidas, es decir. puede emitir un certificado para cualquier sitio a cualquier usuario bajo cualquier pretexto.
Mozilla cree que dicha actividad socava la seguridad del usuario y es contraria al cuarto principio. , que considera la seguridad y la privacidad como factores fundamentales.
Fuente: opennet.ru