A Kazahsztánban 2016 óta hatályos rendelkezéseknek megfelelően a „Kommunikációról szóló törvény” szerint számos kazah szolgáltató, köztük ,
, и , Mától rendszerek a kliens HTTPS-forgalom elfogására az eredetileg használt tanúsítvány helyettesítésével. Kezdetben a lehallgató rendszer bevezetését 2016-ban tervezték, de ezt a műveletet folyamatosan halogatták, és a törvényt formálisnak kezdték felfogni. Elfogást hajtanak végre a felhasználók biztonságával kapcsolatos aggodalmak és az a vágy, hogy megvédjék őket a fenyegetést jelentő tartalomtól.
A hibás tanúsítvány használatára vonatkozó figyelmeztetések letiltása a böngészőkben telepítse a rendszereire"“, amelyet akkor használnak, amikor védett forgalmat sugároznak külföldi oldalakra (például már észlelték a Facebookra történő forgalomhelyettesítést).
A TLS kapcsolat létrejöttekor a célhely valódi tanúsítványát lecseréli egy új, menet közben generált tanúsítványra, amelyet a böngésző megbízhatónak jelöl meg, ha a „nemzetbiztonsági tanúsítványt” a felhasználó hozzáadta a gyökértanúsítványhoz. áruház, mivel a fiktív tanúsítványt egy bizalmi lánc köti össze a „nemzetbiztonsági tanúsítvánnyal” .
Valójában Kazahsztánban a HTTPS protokoll által biztosított védelem teljesen veszélybe került, és az összes HTTPS-kérelem nem sokban különbözik a HTTP-től abból a szempontból, hogy a hírszerző ügynökségek nyomon követhetik és helyettesíthetik a forgalmat. Egy ilyen rendszerben lehetetlen a visszaéléseket ellenőrizni, beleértve azt is, ha a „nemzetbiztonsági tanúsítványhoz” tartozó titkosítási kulcsok egy kiszivárogtatás következtében mások kezébe kerülnek.
Böngésző fejlesztők adja hozzá az elfogáshoz használt gyökértanúsítványt a tanúsítvány-visszavonási listához (OneCRL), ahogy a Mozillánál nemrég a DarkMatter tanúsító hatóság tanúsítványaival. De egy ilyen művelet jelentése nem teljesen világos (a korábbi vitákban haszontalannak tartották), mivel a „nemzetbiztonsági tanúsítvány” esetében ezt a tanúsítványt kezdetben nem fedik le bizalmi láncok, és anélkül, hogy a felhasználó telepítette volna a tanúsítványt, a böngészők már figyelmeztetést jelenítenek meg. Másrészt a böngészőgyártók válaszának hiánya ösztönözheti a hasonló rendszerek más országokban történő bevezetését. Opcióként egy új indikátor bevezetését is javasolják az MITM-támadások által elkapott, helyileg telepített tanúsítványokhoz.
Forrás: opennet.ru