Vastavalt Kasahstanis alates 2016. aastast kehtivatele kommunikatsiooniseadusele, paljud Kasahstani teenusepakkujad, sealhulgas ,
, и , tänasest süsteemid kliendi HTTPS-i liikluse pealtkuulamiseks algselt kasutatud sertifikaadi asendamisega. Esialgu plaaniti pealtkuulamissüsteem kasutusele võtta 2016. aastal, kuid seda operatsiooni lükati pidevalt edasi ja seadust hakati tajuma formaalsena. Pealtkuulamine viiakse läbi mure kasutajate ohutuse pärast ja soov kaitsta neid ohtu kujutava sisu eest.
Brauserites vale sertifikaadi kasutamise hoiatuste keelamiseks kasutajatele installige oma süsteemidesse"“, mida kasutatakse kaitstud liikluse edastamisel välissaitidele (näiteks on juba tuvastatud liikluse asendamine Facebookiga).
TLS-ühenduse loomisel asendatakse sihtsaidi tegelik sertifikaat käigult genereeritud uue sertifikaadiga, mille brauser märgib usaldusväärseks, kui kasutaja on juursertifikaadile lisanud riikliku turvasertifikaadi. poodi, kuna näivsertifikaat on usaldusahela kaudu seotud “riigijulgeoleku sertifikaadiga” .
Tegelikult on Kasahstanis HTTPS-protokolli pakutav kaitse täielikult ohustatud ja kõik HTTPS-i päringud ei erine oluliselt HTTP-st luureagentuuride liikluse jälgimise ja asendamise võimaluse seisukohast. Sellise skeemi kuritarvitamist on võimatu kontrollida, sealhulgas juhul, kui „riigi julgeolekusertifikaadiga” seotud krüpteerimisvõtmed satuvad lekke tagajärjel teistesse kätesse.
Brauseri arendajad lisage pealtkuulamiseks kasutatud juursertifikaat sertifikaatide tühistamise loendisse (OneCRL), nagu hiljuti Mozilla DarkMatteri sertifitseerimisasutuse sertifikaatidega. Kuid sellise toimingu tähendus pole päris selge (varasemates aruteludes peeti seda kasutuks), kuna “riigijulgeoleku sertifikaadi” puhul ei ole see sertifikaat esialgu usaldusahelatega kaetud ja ilma, et kasutaja sertifikaati installiks, brauserid kuvavad juba hoiatuse. Teisest küljest võib brauseritootjate vähene reageerimine soodustada sarnaste süsteemide kasutuselevõttu teistes riikides. Võimalusena tehakse ettepanek rakendada ka uus indikaator MITM-i rünnakutesse sattunud lokaalselt installitud sertifikaatidele.
Allikas: opennet.ru