مطابق با مواردی که از سال 2016 در قزاقستان به اجرا درآمده است به قانون "در مورد ارتباطات"، بسیاری از ارائه دهندگان قزاق، از جمله ,
, и ، از امروز سیستم های رهگیری ترافیک HTTPS مشتری با جایگزینی گواهی استفاده شده اولیه. در ابتدا قرار بود سیستم رهگیری در سال 2016 اجرا شود، اما این عملیات به طور مداوم به تعویق افتاد و قانون شروع به رسمی تلقی کرد. رهگیری انجام می شود نگرانی در مورد ایمنی کاربران و تمایل به محافظت از آنها در برابر محتوایی که تهدید کننده است.
برای غیرفعال کردن هشدارها در مرورگرها در مورد استفاده از گواهی نادرست به کاربران روی سیستم های خود نصب کنید""، که هنگام پخش ترافیک محافظت شده به سایت های خارجی استفاده می شود (به عنوان مثال، جایگزینی ترافیک به فیس بوک قبلاً شناسایی شده است).
هنگامی که یک اتصال TLS برقرار می شود، گواهی واقعی سایت مورد نظر با یک گواهی جدید تولید شده در پرواز جایگزین می شود، که اگر "گواهی امنیت ملی" توسط کاربر به گواهی ریشه اضافه شود، توسط مرورگر به عنوان قابل اعتماد علامت گذاری می شود. ذخیره کنید، زیرا گواهی ساختگی توسط یک زنجیره اعتماد با "گواهی امنیت ملی" مرتبط است.
در واقع، در قزاقستان، حفاظت ارائه شده توسط پروتکل HTTPS به طور کامل به خطر افتاده است و تمام درخواست های HTTPS از نقطه نظر امکان ردیابی و جایگزینی ترافیک توسط آژانس های اطلاعاتی تفاوت چندانی با HTTP ندارند. کنترل سوء استفاده در چنین طرحی غیرممکن است، از جمله اگر کلیدهای رمزگذاری مرتبط با "گواهی امنیت ملی" در نتیجه نشت در دستان دیگر بیفتند.
توسعه دهندگان مرورگر گواهی ریشه مورد استفاده برای رهگیری را به لیست لغو گواهی (OneCRL) اضافه کنید، همانطور که اخیراً موزیلا است با گواهی از مرجع صدور گواهینامه DarkMatter. اما معنای چنین عملیاتی کاملاً مشخص نیست (در بحث های گذشته بی فایده تلقی می شد)، زیرا در مورد "گواهی امنیت ملی" این گواهی در ابتدا تحت پوشش زنجیره های اعتماد قرار نمی گیرد و بدون اینکه کاربر گواهی را نصب کند، مرورگرها قبلاً یک هشدار نمایش می دهند. از سوی دیگر، عدم پاسخگویی از سوی سازندگان مرورگرها ممکن است باعث تشویق به معرفی سیستم های مشابه در کشورهای دیگر شود. به عنوان یک گزینه، همچنین پیشنهاد می شود یک نشانگر جدید برای گواهی های نصب شده محلی که در حملات MITM گرفتار شده اند، پیاده سازی شود.
منبع: opennet.ru