Yn oerienstimming mei dy fan krêft yn Kazachstan sûnt 2016 oan de Wet "On Communications", in protte Kazakh providers, ynklusyf ,
, и , fan hjoed ôf systemen foar it ûnderskeppen fan HTTPS-ferkear fan kliïnt mei ferfanging fan it earst brûkte sertifikaat. Yn earste ynstânsje wie it plan om it ynterceptionsysteem yn 2016 te ymplementearjen, mar dizze operaasje waard konstant útsteld en de wet begon as formeel te wurde beskôge. Underskepping wurdt útfierd soargen oer de feiligens fan brûkers en de winsk om har te beskermjen tsjin ynhâld dy't in bedriging foarmet.
Om warskôgingen yn browsers út te skeakeljen oer it brûken fan in ferkeard sertifikaat foar brûkers ynstallearje op jo systemen "", dat wurdt brûkt by it útstjoeren fan beskerme ferkear nei bûtenlânske siden (bygelyks is ferkearsferfanging nei Facebook al ûntdutsen).
As in TLS-ferbining is fêststeld, wurdt it echte sertifikaat fan 'e doelside ferfongen troch in nij sertifikaat dat op 'e flecht wurdt generearre, dat sil wurde markearre troch de browser as betrouber as it "nasjonaal feiligenssertifikaat" troch de brûker tafoege is oan it root-sertifikaat winkel, om't it dummy-sertifikaat is keppele troch in keatling fan fertrouwen mei it "nasjonale feiligenssertifikaat" .
Yn feite, yn Kazachstan, is de beskerming fan it HTTPS-protokol folslein kompromittearre, en alle HTTPS-oanfragen binne net folle oars fan HTTP út it eachpunt fan 'e mooglikheid fan it folgjen en ferfangen fan ferkear troch yntelliginsje-ynstânsjes. It is ûnmooglik om misbrûk yn sa'n skema te kontrolearjen, ynklusyf as fersiferingskaaien ferbûn mei it "nasjonaal feiligenssertifikaat" yn oare hannen falle as gefolch fan in lek.
Browser ûntwikkelers foegje it root-sertifikaat ta dat brûkt wurdt foar ûnderskepping oan 'e list mei ynlûken fan sertifikaat (OneCRL), lykas koartlyn Mozilla mei sertifikaten fan 'e DarkMatter-sertifikaasjeautoriteit. Mar de betsjutting fan sa'n operaasje is net alhiel dúdlik (yn eardere diskusjes waard it beskôge as nutteloos), om't yn it gefal fan in "nasjonaal feiligenssertifikaat" dit sertifikaat yn earste ynstânsje net wurdt dekt troch keatlingen fan fertrouwen en sûnder de brûker it sertifikaat te ynstallearjen, browsers sille al in warskôging werjaan. Oan 'e oare kant kin it gebrek oan antwurd fan browserfabrikanten de ynfiering fan ferlykbere systemen yn oare lannen stimulearje. As opsje wurdt ek foarsteld om in nije yndikator út te fieren foar lokaal ynstalleare sertifikaten fongen yn MITM-oanfallen.
Boarne: opennet.ru