Ղազախստանում ներդրվող «ազգային վկայականը» արգելափակված է Firefox-ում, Chrome-ում և Safari-ում

Google, Mozilla и Apple հայտարարել է «ազգային անվտանգության վկայագիր» վկայականների ուժը կորցրած ճանաչելու ցուցակներին: Այս արմատային վկայագրի օգտագործումն այժմ կհանգեցնի անվտանգության նախազգուշացման Firefox-ում, Chrome/Chromium-ում և Safari-ում, ինչպես նաև ածանցյալ արտադրանքներում՝ հիմնված դրանց կոդի վրա:

Հիշեցնենք, որ հուլիսին Ղազախստանում եղել է փորձ է արվել Օգտատերերին պաշտպանելու պատրվակով օտարերկրյա կայքերի անվտանգ երթեւեկության նկատմամբ պետական ​​վերահսկողության տեղադրում։ Մի շարք խոշոր պրովայդերների բաժանորդներին հանձնարարվել է տեղադրել հատուկ արմատային վկայագիր իրենց համակարգիչների վրա, որը թույլ կտա պրովայդերներին հանգիստ գաղտնալսել գաղտնագրված տրաֆիկը և խրվել HTTPS կապերի մեջ:

Միաժամանակ կային ամրագրված փորձում է գործնականում օգտագործել այս վկայագիրը՝ Google, Facebook, Odnoklassniki, VKontakte, Twitter, YouTube և այլ ռեսուրսների թրաֆիկը կեղծելու համար: Երբ հաստատվեց TLS կապը, թիրախային կայքի իրական վկայականը փոխարինվեց նոր սերտիֆիկատով, որը ստեղծվել էր անմիջապես, որը դիտարկիչի կողմից նշվեց որպես վստահելի, եթե օգտագործողի կողմից «ազգային անվտանգության վկայականը» ավելացվեր արմատային վկայագրերի պահեստում: , քանի որ կեղծ վկայականը վստահության շղթայով կապված էր «ազգային անվտանգության վկայականի» հետ։ Առանց այս սերտիֆիկատը տեղադրելու հնարավոր չէր ապահով կապ հաստատել նշված կայքերի հետ՝ առանց Tor կամ VPN լրացուցիչ գործիքների օգտագործման։

Ղազախստանում անվտանգ կապերը լրտեսելու առաջին փորձերը կատարվել են 2015 թվականին, երբ Ղազախստանի կառավարությունը փորձել է համոզվեք, որ վերահսկվող սերտիֆիկացման մարմնի արմատային վկայագիրը ներառված է Mozilla արմատային վկայագրերի պահեստում: Աուդիտը բացահայտեց այս վկայականը օգտատերերին լրտեսելու համար օգտագործելու մտադրություն, և դիմումը մերժվեց: Մեկ տարի անց Ղազախստանում եղան
ընդունված «Կապի մասին» օրենքում կատարված փոփոխությունները, որոնք պահանջում են վկայականի տեղադրում հենց օգտատերերի կողմից, սակայն գործնականում այս վկայագրի կիրարկումը սկսվել է միայն 2019 թվականի հուլիսի կեսերից։

Երկու շաբաթ առաջ «ազգային անվտանգության վկայականի» ներդրումը. էր չեղարկված այն բացատրությամբ, որ սա միայն տեխնոլոգիայի փորձարկում էր։ Պրովայդերներին հանձնարարվել է դադարեցնել օգտատերերի վրա սերտիֆիկատներ պարտադրելը, սակայն ներդրումից հետո երկու շաբաթվա ընթացքում շատ ղազախ օգտատերեր արդեն տեղադրել էին վկայագիրը, ուստի երթևեկության գաղտնալսման հնարավորությունը չվերացավ: Ծրագրի ավարտի հետ մեկտեղ ավելացել է նաև տվյալների արտահոսքի հետևանքով «ազգային անվտանգության վկայագրի» հետ կապված գաղտնագրման բանալիների այլ ձեռքերում հայտնվելու վտանգը (գեներացված վկայականն ուժի մեջ է մինչև 2024 թվականը):

Պարտադրված վկայականը, որը չի կարող մերժվել, խախտում է հավաստագրման կենտրոնների ստուգման սխեման, քանի որ այս վկայականը ստեղծած մարմինը չի ենթարկվել անվտանգության աուդիտի, չի համաձայնվել սերտիֆիկացման կենտրոնների պահանջներին և պարտավոր չէ հետևել սահմանված կանոններին, այսինքն. ցանկացած պատրվակով ցանկացած օգտատիրոջը կարող է վկայական տալ ցանկացած կայքի համար:
Mozilla-ն կարծում է, որ նման գործունեությունը խաթարում է օգտատերերի անվտանգությունը և հակասում է չորրորդ սկզբունքին Mozilla մանիֆեստ, որն անվտանգությունն ու գաղտնիությունը համարում է հիմնարար գործոններ։

Source: opennet.ru