Conforme a quelle in vigore in Kazakistan dal 2016 alla legge "sulle comunicazioni", molti fornitori kazaki, tra cui ,
, и , da oggi sistemi di intercettazione del traffico HTTPS dei client con sostituzione del certificato inizialmente utilizzato. Inizialmente, il sistema di intercettazione doveva essere implementato nel 2016, ma questa operazione è stata costantemente rinviata e la legge ha cominciato ad essere percepita come formale. Viene effettuata l'intercettazione preoccupazioni per la sicurezza degli utenti e il desiderio di proteggerli dai contenuti che rappresentano una minaccia.
Per disabilitare gli avvisi nei browser relativi all'utilizzo di un certificato errato per gli utenti installare sui vostri sistemi"", che viene utilizzato quando si trasmette traffico protetto a siti stranieri (ad esempio, è già stata rilevata la sostituzione del traffico su Facebook).
Quando viene stabilita una connessione TLS, il vero certificato del sito di destinazione viene sostituito da un nuovo certificato generato al volo, che verrà contrassegnato dal browser come affidabile se il “certificato di sicurezza nazionale” è stato aggiunto dall'utente al certificato radice store, poiché il certificato fittizio è collegato da una catena di fiducia con il “certificato di sicurezza nazionale”.
In Kazakistan, infatti, la protezione fornita dal protocollo HTTPS è completamente compromessa, e tutte le richieste HTTPS non sono molto diverse dall'HTTP dal punto di vista della possibilità di tracciamento e sostituzione del traffico da parte delle agenzie di intelligence. È impossibile controllare gli abusi in un simile sistema, compreso il caso in cui le chiavi di crittografia associate al “certificato di sicurezza nazionale” finiscano in altre mani a seguito di una fuga di notizie.
Sviluppatori di browser aggiungere il certificato radice utilizzato per l'intercettazione all'elenco di revoche di certificati (OneCRL), come recentemente Mozilla con certificati dell'autorità di certificazione DarkMatter. Ma il significato di tale operazione non è del tutto chiaro (nelle discussioni precedenti era considerata inutile), poiché nel caso di un “certificato di sicurezza nazionale” questo certificato non è inizialmente coperto da catene di fiducia e senza che l’utente installi il certificato, i browser visualizzeranno già un avviso. D'altro canto, la mancata risposta da parte dei produttori di browser potrebbe incoraggiare l'introduzione di sistemi simili in altri paesi. Come opzione si propone anche di implementare un nuovo indicatore per i certificati installati localmente coinvolti negli attacchi MITM.
Fonte: opennet.ru