Kazakstanissa vuodesta 2016 lähtien voimassa olleiden määräysten mukaisesti viestintälakiin, monet kazakstanilaiset palveluntarjoajat, mukaan lukien ,
, и , tästä päivästä lähtien järjestelmät, jotka sieppaavat asiakkaan HTTPS-liikenteen korvaamalla alun perin käytetyn varmenteen. Aluksi kuuntelujärjestelmä oli tarkoitus ottaa käyttöön vuonna 2016, mutta tätä toimenpidettä lykättiin jatkuvasti ja lakia alettiin pitää muodollisena. Sieppaus suoritetaan huoli käyttäjien turvallisuudesta ja halu suojella heitä uhkaavalta sisällöltä.
Poistaaksesi käytöstä selainten varoitukset käyttäjille väärän varmenteen käytöstä asenna järjestelmiisi"", jota käytetään lähetettäessä suojattua liikennettä ulkomaisille sivustoille (esimerkiksi liikenteen korvaaminen Facebookilla on jo havaittu).
Kun TLS-yhteys muodostetaan, kohdesivuston todellinen varmenne korvataan lennossa luodulla uudella varmenteella, jonka selain merkitsee luotettavaksi, jos käyttäjä on lisännyt "kansallisen turvallisuuden varmenteen" juurivarmenteeseen. myymälä, koska valesertifikaatti on yhdistetty luottamusketjulla "kansallisen turvallisuuden sertifikaattiin" .
Itse asiassa Kazakstanissa HTTPS-protokollan tarjoama suojaus on täysin vaarantunut, ja kaikki HTTPS-pyynnöt eivät juurikaan eroa HTTP:stä siltä kannalta, että tiedustelupalvelut voivat seurata ja korvata liikennettä. Tällaisessa järjestelmässä on mahdotonta hallita väärinkäytöksiä, mukaan lukien "kansalliseen turvasertifikaattiin" liittyvien salausavainten joutuminen muiden käsiin vuodon seurauksena.
Selaimen kehittäjät lisää siepaukseen käytetty juurivarmenne varmenteiden kumoamisluetteloon (OneCRL), kuten äskettäin Mozilla DarkMatter-sertifiointiviranomaisen sertifikaateilla. Mutta tällaisen toiminnon tarkoitus ei ole täysin selvä (aiemmissa keskusteluissa sitä pidettiin hyödyttömänä), koska "kansallisen turvallisuusvarmenteen" tapauksessa tämä varmenne ei ole alun perin katettu luottamusketjuilla ja ilman, että käyttäjä asentaa varmenteen, selaimet näyttävät jo varoituksen. Toisaalta selainvalmistajien vastauksen puute voi rohkaista samanlaisten järjestelmien käyttöönottoa muissa maissa. Vaihtoehtona ehdotetaan myös uuden indikaattorin käyttöönottoa MITM-hyökkäyksiin jääneille paikallisesti asennetuille varmenteille.
Lähde: opennet.ru