Conformément à celles en vigueur au Kazakhstan depuis 2016 à la loi « sur les communications », de nombreux fournisseurs kazakhs, dont ,
, и , à partir d'aujourd'hui systèmes d'interception du trafic HTTPS client avec substitution du certificat initialement utilisé. Initialement, la mise en place du système d'interception était prévue pour 2016, mais cette opération a été constamment reportée et la loi a commencé à être perçue comme formelle. L'interception est effectuée les préoccupations concernant la sécurité des utilisateurs et la volonté de les protéger des contenus qui constituent une menace.
Pour désactiver les avertissements dans les navigateurs concernant l'utilisation d'un certificat incorrect aux utilisateurs installer sur vos systèmes "», qui est utilisé lors de la diffusion de trafic protégé vers des sites étrangers (par exemple, une substitution de trafic vers Facebook a déjà été détectée).
Lorsqu'une connexion TLS est établie, le certificat réel du site cible est remplacé par un nouveau certificat généré à la volée, qui sera marqué par le navigateur comme digne de confiance si le « certificat de sécurité nationale » a été ajouté par l'utilisateur au certificat racine. magasin, puisque le certificat factice est lié par une chaîne de confiance au « certificat de sécurité nationale » .
En fait, au Kazakhstan, la protection fournie par le protocole HTTPS est complètement compromise, et toutes les requêtes HTTPS ne diffèrent pas beaucoup du HTTP en termes de possibilité de suivi et de substitution du trafic par les agences de renseignement. Il est impossible de contrôler les abus dans un tel système, y compris si les clés de chiffrement associées au « certificat de sécurité nationale » tombent entre d’autres mains à la suite d’une fuite.
Développeurs de navigateurs ajouter le certificat racine utilisé pour l'interception à la liste de révocation des certificats (OneCRL), comme récemment Mozilla avec des certificats de l'autorité de certification DarkMatter. Mais le sens d’une telle opération n’est pas tout à fait clair (dans les discussions passées elle était considérée comme inutile), puisque dans le cas d’un « certificat de sécurité nationale » ce certificat n’est pas initialement couvert par des chaînes de confiance et sans que l’utilisateur installe le certificat, les navigateurs afficheront déjà un avertissement. D’un autre côté, l’absence de réponse des fabricants de navigateurs pourrait encourager l’introduction de systèmes similaires dans d’autres pays. En option, il est également proposé d'implémenter un nouvel indicateur pour les certificats installés localement pris dans les attaques MITM.
Source: opennet.ru