, и a annoncé le placement du «» aux listes de révocation de certificats. L'utilisation de ce certificat racine entraînera désormais un avertissement de sécurité dans Firefox, Chrome/Chromium et Safari, ainsi que dans les produits dérivés basés sur leur code.
Rappelons qu'en juillet au Kazakhstan il y a eu installer un contrôle gouvernemental sur le trafic sécurisé vers des sites étrangers sous prétexte de protéger les utilisateurs. Les abonnés d'un certain nombre de grands fournisseurs ont reçu l'ordre d'installer un certificat racine spécial sur leurs ordinateurs, ce qui permettrait aux fournisseurs d'intercepter discrètement le trafic crypté et de se connecter aux connexions HTTPS.
En même temps il y avait tente d'utiliser ce certificat dans la pratique pour usurper le trafic vers Google, Facebook, Odnoklassniki, VKontakte, Twitter, YouTube et d'autres ressources. Lorsqu'une connexion TLS était établie, le certificat réel du site cible était remplacé par un nouveau certificat généré à la volée, qui était marqué par le navigateur comme digne de confiance si le « certificat de sécurité nationale » était ajouté par l'utilisateur au magasin de certificats racine. , puisque le certificat factice est lié par une chaîne de confiance au « certificat de sécurité nationale ». Sans installer ce certificat, il n'était pas possible d'établir une connexion sécurisée avec les sites mentionnés sans utiliser des outils supplémentaires tels que Tor ou VPN.
Les premières tentatives d'espionnage des connexions sécurisées au Kazakhstan ont eu lieu en 2015, lorsque le gouvernement kazakh assurez-vous que le certificat racine de l'autorité de certification contrôlée est inclus dans le magasin de certificats racine de Mozilla. L'audit a révélé une intention d'utiliser ce certificat pour espionner les utilisateurs et la demande a été rejetée. Un an plus tard, au Kazakhstan, il y avait
amendements à la loi « sur les communications », exigeant l'installation d'un certificat par les utilisateurs eux-mêmes, mais dans la pratique, l'application de ce certificat n'a commencé qu'à la mi-juillet 2019.
Il y a deux semaines, l’instauration d’un « certificat de sécurité nationale » avec l'explication qu'il ne s'agissait que de tester la technologie. Les fournisseurs ont reçu pour instruction de cesser d'imposer des certificats aux utilisateurs, mais dans les deux semaines suivant la mise en œuvre, de nombreux utilisateurs kazakhs avaient déjà installé le certificat, de sorte que le risque d'interception du trafic n'a pas disparu. Avec l’arrêt du projet, le risque que les clés de chiffrement associées au « certificat de sécurité nationale » tombent entre d’autres mains en raison de fuites de données a également augmenté (le certificat généré est valable jusqu’en 2024).
Un certificat imposé qui ne peut être refusé viole le système de vérification des centres de certification, puisque l'autorité qui a généré ce certificat n'a pas subi d'audit de sécurité, n'a pas accepté les exigences des centres de certification et n'est pas obligée de suivre les règles établies, c'est-à-dire peut délivrer un certificat pour n'importe quel site à n'importe quel utilisateur sous n'importe quel prétexte.
Mozilla estime qu'une telle activité porte atteinte à la sécurité des utilisateurs et est contraire au quatrième principe. , qui considère la sécurité et la confidentialité comme des facteurs fondamentaux.
Source: opennet.ru