, и 』の配置を発表した。» 証明書失効リストへ。 このルート証明書を使用すると、Firefox、Chrome/Chromium、Safari、およびそれらのコードに基づく派生製品でセキュリティ警告が表示されるようになります。
XNUMX月にカザフスタンで次のようなことがあったことを思い出してください。 ユーザーを保護するという名目で、海外サイトへの安全なトラフィックに対する政府の制御を導入する。 多くの大規模プロバイダーの加入者は、コンピューターに特別なルート証明書をインストールするよう命じられました。これにより、プロバイダーは暗号化されたトラフィックを静かに傍受し、HTTPS 接続に割り込むことができるようになります。
同時に、 この証明書を実際に使用して、Google、Facebook、Odnoklassniki、VKontakte、Twitter、YouTube、その他のリソースへのトラフィックを偽装しようとします。 TLS 接続が確立されると、ターゲット サイトの実際の証明書は、その場で生成された新しい証明書に置き換えられ、ユーザーが「国家安全保障証明書」をルート証明書ストアに追加した場合、ブラウザによって信頼できるものとしてマークされます。ダミー証明書は信頼の連鎖によって「国家安全保障証明書」にリンクされていたためです。 この証明書をインストールしないと、Tor や VPN などの追加ツールを使用せずに、前述のサイトとの安全な接続を確立することができませんでした。
カザフスタンの安全な接続をスパイする最初の試みは 2015 年に行われました。 管理された証明機関のルート証明書が Mozilla ルート証明書ストアに含まれていることを確認します。 監査の結果、この証明書を使用してユーザーを監視する意図が明らかになり、申請は拒否されました。 XNUMX年後、カザフスタンでは
「通信に関する法律」の改正により、ユーザー自身による証明書のインストールが義務付けられましたが、実際にこの証明書の施行が始まったのは2019年XNUMX月中旬になってからです。
XNUMX週間前、「国家安全保障証明書」が導入された。 これは単にテクノロジーをテストしているだけであるという説明付きでした。 プロバイダーはユーザーに証明書を課すのをやめるように指示されたが、導入から 2024 週間以内に多くのカザフスタンのユーザーがすでに証明書をインストールしていたため、トラフィック傍受の可能性は消えなかった。 プロジェクトの終了に伴い、データ漏洩の結果、「国家安全保障証明書」に関連付けられた暗号鍵が他人の手に渡る危険性も高まっています(生成された証明書はXNUMX年まで有効です)。
拒否できない強制された証明書は、認証センターの検証スキームに違反します。これは、この証明書を生成した当局がセキュリティ監査を受けておらず、認証センターの要件に同意しておらず、確立された規則に従う義務がないためです。 あらゆるサイトの証明書をあらゆる口実であらゆるユーザーに発行できます。
Mozilla は、そのような行為はユーザーのセキュリティを損ない、第 XNUMX 原則に反すると考えています。 、セキュリティとプライバシーを基本的な要素として考慮しています。
出所: オープンネット.ru