, и anunciou a colocación do "» ás listas de revogación de certificados. O uso deste certificado raíz agora producirá unha advertencia de seguranza en Firefox, Chrome/Chromium e Safari, así como en produtos derivados baseados no seu código.
Lembremos que en xullo en Casaquistán houbo instalación do control gobernamental sobre o tráfico seguro a sitios estranxeiros co pretexto de protexer aos usuarios. Os subscritores de varios grandes provedores recibiron a orde de instalar un certificado raíz especial nos seus ordenadores, o que permitiría aos provedores interceptar silenciosamente o tráfico cifrado e conectarse a conexións HTTPS.
Ao mesmo tempo houbo tenta utilizar este certificado na práctica para falsificar o tráfico a Google, Facebook, Odnoklassniki, VKontakte, Twitter, YouTube e outros recursos. Cando se estableceu unha conexión TLS, o certificado real do sitio de destino foi substituído por un novo certificado xerado sobre a marcha, que foi marcado polo navegador como fiable se o usuario engadiu o "certificado de seguridade nacional" ao almacén de certificados raíz. , xa que o certificado ficticio estaba ligado por unha cadea de confianza ao "certificado de seguridade nacional". Sen instalar este certificado, non era posible establecer unha conexión segura cos sitios mencionados sen utilizar ferramentas adicionais como Tor ou VPN.
Os primeiros intentos de espiar conexións seguras en Casaquistán realizáronse en 2015, cando o goberno asegúrese de que o certificado raíz da autoridade de certificación controlada estea incluído no almacén de certificados raíz de Mozilla. A auditoría revelou a intención de usar este certificado para espiar usuarios e a aplicación foi rexeitada. Un ano despois en Casaquistán houbo
modificacións da Lei "sobre comunicacións", que esixen a instalación dun certificado polos propios usuarios, pero na práctica, a execución deste certificado comezou só a mediados de xullo de 2019.
Hai dúas semanas, a introdución dun "certificado de seguridade nacional" coa explicación de que isto só estaba probando a tecnoloxía. Os provedores recibiron instrucións para que deixasen de impoñer certificados aos usuarios, pero dentro de dúas semanas desde a implementación, moitos usuarios de Kazajistán xa instalaran o certificado, polo que o potencial de interceptación do tráfico non desapareceu. Coa liquidación do proxecto, tamén aumentou o perigo de que as claves de cifrado asociadas ao "certificado de seguridade nacional" caian noutras mans como consecuencia da fuga de datos (o certificado xerado é válido ata 2024).
Un certificado imposto que non se pode denegar infrinxe o esquema de verificación dos centros de certificación, xa que a autoridade que xerou este certificado non se someteu a unha auditoría de seguridade, non estaba de acordo cos requisitos dos centros de certificación e non está obrigado a seguir as normas establecidas, é dicir. pode emitir un certificado para calquera sitio a calquera usuario baixo calquera pretexto.
Mozilla cre que tal actividade menoscaba a seguridade dos usuarios e é contraria ao cuarto principio , que considera a seguridade e a privacidade como factores fundamentais.
Fonte: opennet.ru