De acuerdo con los vigentes en Kazajstán desde 2016 Según la Ley "sobre comunicaciones", muchos proveedores kazajos, incluidos ,
, и , a partir de hoy sistemas para interceptar el tráfico HTTPS del cliente con sustitución del certificado utilizado inicialmente. Inicialmente, se planeó implementar el sistema de interceptación en 2016, pero esta operación se pospuso constantemente y la ley comenzó a percibirse como formal. La interceptación se lleva a cabo. preocupaciones sobre la seguridad de los usuarios y el deseo de protegerlos del contenido que representa una amenaza.
Para desactivar las advertencias en los navegadores sobre el uso de un certificado incorrecto a los usuarios instalar en sus sistemas "“, que se utiliza cuando se transmite tráfico protegido a sitios extranjeros (por ejemplo, ya se ha detectado la sustitución del tráfico por Facebook).
Cuando se establece una conexión TLS, el certificado real del sitio de destino se reemplaza por un nuevo certificado generado sobre la marcha, que el navegador marcará como confiable si el usuario agregó el "certificado de seguridad nacional" al certificado raíz. store, ya que el certificado ficticio está vinculado por una cadena de confianza con el “certificado de seguridad nacional”.
De hecho, en Kazajstán, la protección proporcionada por el protocolo HTTPS está completamente comprometida, y todas las solicitudes HTTPS no son muy diferentes de HTTP desde el punto de vista de la posibilidad de seguimiento y sustitución del tráfico por parte de agencias de inteligencia. Es imposible controlar los abusos en un esquema de este tipo, incluso si las claves de cifrado asociadas con el “certificado de seguridad nacional” caen en otras manos como resultado de una filtración.
Desarrolladores de navegadores agregue el certificado raíz utilizado para la interceptación a la lista de revocación de certificados (OneCRL), como recientemente Mozilla con certificados de la autoridad de certificación DarkMatter. Pero el significado de tal operación no está del todo claro (en discusiones pasadas se consideró inútil), ya que en el caso de un "certificado de seguridad nacional", este certificado inicialmente no está cubierto por cadenas de confianza y sin que el usuario instale el certificado, Los navegadores ya muestran una advertencia. Por otro lado, la falta de respuesta de los fabricantes de navegadores puede favorecer la introducción de sistemas similares en otros países. Como opción, también se propone implementar un nuevo indicador para los certificados instalados localmente atrapados en ataques MITM.
Fuente: opennet.ru