Sesuai dengan yang berlaku di Kazakhstan sejak 2016 dengan Undang-Undang “Tentang Komunikasi”, banyak penyedia Kazakh, termasuk ,
, и , dari hari ini sistem untuk mencegat lalu lintas HTTPS klien dengan penggantian sertifikat yang pertama kali digunakan. Awalnya, sistem intersepsi direncanakan akan diterapkan pada tahun 2016, namun operasi ini terus ditunda dan undang-undang tersebut mulai dianggap formal. Intersepsi dilakukan kekhawatiran tentang keselamatan pengguna dan keinginan untuk melindungi mereka dari konten yang menimbulkan ancaman.
Untuk menonaktifkan peringatan di browser tentang penggunaan sertifikat yang salah kepada pengguna instal di sistem Anda "“, yang digunakan saat menyiarkan lalu lintas yang dilindungi ke situs asing (misalnya, penggantian lalu lintas ke Facebook telah terdeteksi).
Ketika koneksi TLS dibuat, sertifikat sebenarnya dari situs target digantikan oleh sertifikat baru yang dibuat dengan cepat, yang akan ditandai oleh browser sebagai dapat dipercaya jika “sertifikat keamanan nasional” ditambahkan oleh pengguna ke sertifikat akar toko, karena sertifikat tiruan dihubungkan oleh rantai kepercayaan dengan “sertifikat keamanan nasional”.
Faktanya, di Kazakhstan, perlindungan yang diberikan oleh protokol HTTPS sepenuhnya dikompromikan, dan semua permintaan HTTPS tidak jauh berbeda dengan HTTP dari sudut pandang kemungkinan pelacakan dan penggantian lalu lintas oleh badan intelijen. Tidak mungkin mengendalikan penyalahgunaan dalam skema seperti itu, termasuk jika kunci enkripsi yang terkait dengan “sertifikat keamanan nasional” jatuh ke tangan lain akibat kebocoran.
Pengembang peramban tambahkan sertifikat root yang digunakan untuk intersepsi ke daftar pencabutan sertifikat (OneCRL), seperti yang terbaru Mozilla dengan sertifikat dari otoritas sertifikasi DarkMatter. Namun arti dari operasi tersebut tidak sepenuhnya jelas (dalam diskusi sebelumnya dianggap tidak berguna), karena dalam kasus “sertifikat keamanan nasional” sertifikat ini pada awalnya tidak tercakup dalam rantai kepercayaan dan tanpa pengguna memasang sertifikat tersebut, browser sudah akan menampilkan peringatan. Di sisi lain, kurangnya respon dari produsen browser dapat mendorong diperkenalkannya sistem serupa di negara lain. Sebagai pilihan, juga diusulkan untuk menerapkan indikator baru untuk sertifikat yang dipasang secara lokal yang terjebak dalam serangan MITM.
Sumber: opennet.ru