An akò ak sa yo ki an fòs nan Kazakhstan depi 2016 nan Lwa "Sou Kominikasyon", anpil founisè Kazakh, ki gen ladan ,
, и , depi jodi a sistèm pou entèsepte trafik HTTPS kliyan ak ranplasman sètifika okòmansman itilize a. Okòmansman, yo te planifye sistèm entèsepsyon an pou aplike nan 2016, men operasyon sa a te toujou ap ranvwaye ak lwa a te kòmanse pèrsu kòm fòmèl. Entèsepsyon fèt enkyetid sou sekirite itilizatè yo ak dezi a pwoteje yo kont kontni ki poze yon menas.
Pou enfim avètisman nan navigatè sou itilizasyon yon sètifika kòrèk bay itilizatè yo enstale sou sistèm ou yo "", ki itilize lè difize trafik pwoteje nan sit etranje (pa egzanp, sibstitisyon trafik sou Facebook te deja detekte).
Lè yo etabli yon koneksyon TLS, sètifika reyèl la nan sit la sib ranplase pa yon nouvo sètifika ki te pwodwi sou vole a, ki pral make pa navigatè a kòm konfyans si itilizatè a te ajoute "sètifika sekirite nasyonal la" nan sètifika rasin lan. magazen, depi sètifika enbesil la lye pa yon chèn konfyans ak "sètifika sekirite nasyonal la".
An reyalite, nan Kazakhstan, pwoteksyon an bay nan pwotokòl HTTPS la konplètman konpwomèt, ak tout demann HTTPS yo pa anpil diferan de HTTP nan pwendvi posibilite pou swiv ak sibstitisyon nan trafik pa ajans entèlijans. Li enposib kontwole abi nan yon konplo konsa, ki gen ladan si kle chifreman ki asosye ak "sètifika sekirite nasyonal la" tonbe nan lòt men kòm yon rezilta nan yon koule.
Devlopè navigatè yo ajoute sètifika rasin yo itilize pou entèsepsyon nan lis revokasyon sètifika a (OneCRL), kòm dènyèman Mozilla ak sètifika ki soti nan otorite sètifikasyon DarkMatter. Men, siyifikasyon an nan yon operasyon sa a pa totalman klè (nan diskisyon sot pase yo li te konsidere kòm initil), paske nan ka a nan yon "sètifika sekirite nasyonal" sètifika sa a pa okòmansman kouvri pa chèn konfyans ak san itilizatè a enstale sètifika a, navigatè yo pral deja montre yon avètisman. Nan lòt men an, mank de repons nan manifakti navigatè ka ankouraje entwodiksyon de sistèm ki sanble nan lòt peyi yo. Kòm yon opsyon, li pwopoze tou pou aplike yon nouvo endikatè pou sètifika lokalman enstale kenbe nan atak MITM.
Sous: opennet.ru