카자흐스탄에서는 다수의 대규모 제공업체가 HTTPS 트래픽 차단을 구현했습니다.

2016년부터 카자흐스탄에서 시행 중인 규정에 따름 수정안 "통신에 관한"법에 따라 다음을 포함한 많은 카자흐스탄 제공업체가 케이셀,
직선, Tele2 и 알텔, 오늘부터 가동시키다 처음에 사용된 인증서를 대체하여 클라이언트 HTTPS 트래픽을 가로채는 시스템입니다. 당초 감청제도는 2016년 시행될 예정이었으나, 이 작전이 계속 연기되면서 법이 형식적인 것으로 인식되기 시작했다. 차단이 수행됩니다. 가장 아래 사용자의 안전에 대한 우려와 위협을 가하는 콘텐츠로부터 사용자를 보호하려는 욕구.

사용자에게 잘못된 인증서 사용에 대한 브라우저의 경고를 비활성화하려면 처방 귀하의 시스템에 설치하십시오 "국가안전인증서'는 보호된 트래픽을 해외 사이트에 방송할 때 사용됩니다(예: Facebook으로의 트래픽 대체가 이미 감지되었습니다).

TLS 연결이 설정되면 대상 사이트의 실제 인증서가 즉시 생성된 새 인증서로 대체됩니다. 이는 사용자가 루트 인증서에 "국가 보안 인증서"를 추가한 경우 브라우저에서 신뢰할 수 있는 것으로 표시됩니다. 더미 인증서는 "국가 보안 인증서"와 신뢰 체인으로 연결되어 있으므로 저장소에 저장됩니다.

실제로 카자흐스탄에서는 HTTPS 프로토콜이 제공하는 보호 기능이 완전히 손상되었으며 정보 기관이 트래픽을 추적하고 대체할 수 있다는 점에서 모든 HTTPS 요청은 HTTP와 크게 다르지 않습니다. 유출로 인해 "국가 보안 인증서"와 관련된 암호화 키가 다른 사람의 손에 들어가는 경우를 포함하여 이러한 체계의 남용을 통제하는 것은 불가능합니다.

브라우저 개발자 고려 중이다 신청 최근 Mozilla와 마찬가지로 인증서 해지 목록(OneCRL)에 차단에 사용되는 루트 인증서를 추가합니다. 입력 DarkMatter 인증 기관의 인증서를 사용합니다. 그러나 이러한 작업의 의미는 완전히 명확하지 않습니다(과거 토론에서는 쓸모 없는 것으로 간주되었습니다). "국가 보안 인증서"의 경우 이 인증서는 처음에는 신뢰 체인에 의해 보호되지 않으며 사용자가 인증서를 설치하지 않으면 브라우저에는 이미 경고가 표시됩니다. 반면, 브라우저 제조업체의 반응 부족으로 인해 다른 국가에서도 유사한 시스템이 도입될 수 있습니다. 옵션으로 MITM 공격에 걸린 로컬에 설치된 인증서에 대한 새로운 표시기를 구현하는 것도 제안됩니다.

출처 : opennet.ru