ProHoster > Блог > warta internet > Ing Kazakhstan, sawetara panyedhiya gedhe wis ngetrapake intersepsi lalu lintas HTTPS

Ing Kazakhstan, sawetara panyedhiya gedhe wis ngetrapake intersepsi lalu lintas HTTPS

Sesuai karo sing ditindakake ing Kazakhstan wiwit 2016 amandemen menyang Hukum "On Communications", akeh panyedhiya Kazakh, kalebu kcell,
Beeline, Tele2 и Altel, wiwit dina iki sijine menyang operasi sistem kanggo intercepting lalu lintas HTTPS klien karo substitusi saka certificate pisanan digunakake. Wiwitane, sistem intersepsi direncanakake bakal ditindakake ing taun 2016, nanging operasi iki terus-terusan ditundha lan hukum kasebut wiwit dianggep resmi. Interception ditindakake ing kedok kuwatir babagan keamanan pangguna lan kepinginan kanggo nglindhungi saka konten sing nyebabake ancaman.

Kanggo mateni bebaya ing browser babagan panggunaan sertifikat sing salah kanggo pangguna diwènèhaké nginstal ing sistem sampeyan"sertifikat keamanan nasional", sing digunakake nalika nyebarake lalu lintas sing dilindhungi menyang situs manca (contone, substitusi lalu lintas menyang Facebook wis dideteksi).

Nalika sambungan TLS ditetepake, sertifikat nyata situs target diganti karo sertifikat anyar sing digawe kanthi cepet, sing bakal ditandhani dening browser minangka dipercaya yen "sertifikat keamanan nasional" ditambahake dening pangguna menyang sertifikat root. nyimpen, wiwit certificate goblok disambung dening chain saka dateng karo "sertifikat keamanan nasional" .

Nyatane, ing Kazakhstan, proteksi sing diwenehake dening protokol HTTPS rampung dikompromi, lan kabeh panjaluk HTTPS ora beda karo HTTP saka sudut pandang kemungkinan nelusuri lan substitusi lalu lintas dening lembaga intelijen. Ora bisa ngontrol penyalahgunaan ing skema kasebut, kalebu yen kunci enkripsi sing ana gandhengane karo "sertifikat keamanan nasional" tiba ing tangan liyane amarga bocor.

pangembang browser nimbang proposal nambah sertifikat ROOT digunakake kanggo nyegat kanggo dhaftar panjabutan certificate (OneCRL), minangka bubar Mozilla dipuntampi kanthi sertifikat saka panguwasa sertifikasi DarkMatter. Nanging makna operasi kasebut ora sakabehe jelas (ing diskusi kepungkur dianggep ora ana gunane), amarga ing kasus "sertifikat keamanan nasional" sertifikat iki ora pisanan dijamin dening rantai kepercayaan lan tanpa pangguna nginstal sertifikat kasebut. browser wis bakal nampilake bebaya. Ing sisih liya, kekurangan respon saka produsen browser bisa nyengkuyung introduksi sistem sing padha ing negara liya. Minangka pilihan, uga diusulake kanggo ngleksanakake indikator anyar kanggo sertifikat sing diinstal sacara lokal sing kejiret ing serangan MITM.

Source: opennet.ru

Add a comment