, и ha annunciato il posizionamento del “» agli elenchi di revoca dei certificati. L'utilizzo di questo certificato radice ora comporterà un avviso di sicurezza in Firefox, Chrome/Chromium e Safari, nonché nei prodotti derivati basati sul loro codice.
Ricordiamo che a luglio in Kazakistan c'era installazione di un controllo governativo sul traffico sicuro verso siti stranieri con il pretesto di proteggere gli utenti. Agli abbonati di numerosi grandi provider è stato ordinato di installare sui loro computer uno speciale certificato root, che consentirebbe ai provider di intercettare silenziosamente il traffico crittografato e di inserirsi nelle connessioni HTTPS.
Allo stesso tempo c'erano tenta di utilizzare questo certificato nella pratica per falsificare il traffico verso Google, Facebook, Odnoklassniki, VKontakte, Twitter, YouTube e altre risorse. Quando veniva stabilita una connessione TLS, il vero certificato del sito di destinazione veniva sostituito da un nuovo certificato generato al volo, che veniva contrassegnato dal browser come affidabile se il "certificato di sicurezza nazionale" veniva aggiunto dall'utente all'archivio dei certificati radice , poiché il certificato fittizio è collegato tramite una catena di fiducia al "certificato di sicurezza nazionale". Senza l'installazione di questo certificato non era possibile stabilire una connessione sicura con i siti menzionati senza utilizzare strumenti aggiuntivi come Tor o VPN.
I primi tentativi di spiare le connessioni sicure in Kazakistan sono stati effettuati nel 2015, quando il governo kazako assicurarsi che il certificato radice dell'autorità di certificazione controllata sia incluso nell'archivio dei certificati radice di Mozilla. Dall'audit è emersa l'intenzione di utilizzare questo certificato per spiare gli utenti e la richiesta è stata respinta. Un anno dopo in Kazakistan ce n'erano
modifiche alla legge "sulle comunicazioni", che richiedono l'installazione di un certificato da parte degli utenti stessi, ma in pratica l'applicazione di questo certificato è iniziata solo a metà luglio 2019.
Due settimane fa l’introduzione di un “certificato di sicurezza nazionale” con la spiegazione che si trattava solo di testare la tecnologia. Ai fornitori è stato chiesto di smettere di imporre certificati agli utenti, ma entro due settimane dall'implementazione, molti utenti kazaki avevano già installato il certificato, quindi il potenziale di intercettazione del traffico non è scomparso. Con la chiusura del progetto è aumentato anche il pericolo che le chiavi di crittografia legate al “certificato di sicurezza nazionale” finiscano in altre mani a causa della fuga di dati (il certificato generato è valido fino al 2024).
Un certificato imposto che non può essere rifiutato viola lo schema di verifica per i centri di certificazione, poiché l'autorità che ha generato questo certificato non è stata sottoposta a un audit di sicurezza, non era d'accordo con i requisiti per i centri di certificazione e non è obbligata a seguire le regole stabilite, ad es. può rilasciare un certificato per qualsiasi sito a qualsiasi utente con qualsiasi pretesto.
Mozilla ritiene che tale attività mini la sicurezza degli utenti e sia contraria al quarto principio , che considera la sicurezza e la privacy come fattori fondamentali.
Fonte: opennet.ru