, и bejelentette a „» a tanúsítvány visszavonási listákra. Ennek a gyökértanúsítványnak a használata mostantól biztonsági figyelmeztetést eredményez a Firefox, Chrome/Chromium és Safari böngészőben, valamint a kódjukon alapuló származékos termékekben.
Emlékezzünk vissza, hogy júliusban Kazahsztánban volt kormányzati ellenőrzés bevezetése a külföldi oldalak biztonságos forgalmára a felhasználók védelmének ürügyén. Számos nagy szolgáltató előfizetőit arra utasították, hogy telepítsenek egy speciális gyökértanúsítványt a számítógépükre, amely lehetővé teszi a szolgáltatók számára a titkosított forgalom csendes lehallgatását és a HTTPS-kapcsolatokba való beékelődést.
Ugyanakkor voltak megpróbálja ezt a tanúsítványt a gyakorlatban felhasználni a Google, a Facebook, az Odnoklassniki, a VKontakte, a Twitter, a YouTube és más források forgalmának meghamisítására. A TLS kapcsolat létrejöttekor a célhely valódi tanúsítványát lecserélték egy új, menet közben generált tanúsítványra, amelyet a böngésző megbízhatónak jelölt meg, ha a felhasználó hozzáadta a „nemzetbiztonsági tanúsítványt” a gyökértanúsítványtárolóhoz. , mivel a dummy tanúsítványt egy bizalmi lánc kötötte össze a „nemzetbiztonsági tanúsítvánnyal”. A tanúsítvány telepítése nélkül nem lehetett biztonságos kapcsolatot létesíteni az említett helyekkel további eszközök, például Tor vagy VPN használata nélkül.
Az első kísérletek a biztonságos kapcsolatok utáni kémkedésre Kazahsztánban 2015-ben történtek, amikor a kazah kormány gondoskodjon arról, hogy az ellenőrzött hitelesítés-szolgáltató gyökértanúsítványa szerepeljen a Mozilla gyökértanúsítvány-tárolójában. Az ellenőrzés feltárta a szándékot, hogy ezzel a tanúsítvánnyal kémkedjenek a felhasználók után, és a kérelmet elutasították. Egy évvel később Kazahsztánban voltak
A hírközlési törvény módosításai, amelyek megkövetelik, hogy maguk a felhasználók telepítsenek tanúsítványt, de a gyakorlatban ennek a tanúsítványnak az érvényesítése csak 2019. július közepén kezdődött.
Két hete bevezették a „nemzetbiztonsági tanúsítványt” azzal a magyarázattal, hogy ez csak a technológia tesztelése. A szolgáltatókat arra utasították, hogy hagyják abba a tanúsítványok kikényszerítését a felhasználókra, de a bevezetést követő két héten belül sok kazah felhasználó már telepítette a tanúsítványt, így a forgalom elfogásának lehetősége nem tűnt el. A projekt leállásával megnőtt annak a veszélye is, hogy a „nemzetbiztonsági tanúsítványhoz” tartozó titkosítási kulcsok adatszivárgás következtében más kézbe kerüljenek (a keletkezett tanúsítvány 2024-ig érvényes).
A visszautasíthatatlan kiszabott tanúsítvány sérti a tanúsító központok hitelesítési sémáját, mivel a tanúsítványt kiállító hatóság nem esett át biztonsági auditon, nem értett egyet a tanúsító központokra vonatkozó követelményekkel, és nem köteles betartani a megállapított szabályokat, pl. tanúsítványt állíthat ki bármely webhelyhez bármely felhasználó számára, bármilyen ürüggyel.
A Mozilla úgy véli, hogy az ilyen tevékenység aláássa a felhasználók biztonságát, és ellentétes a negyedik elvvel , amely alapvető tényezőnek tekinti a biztonságot és a magánélet védelmét.
Forrás: opennet.ru