В соответствии с действующими в Казахстане с 2016 года к закону «О связи», многие казахские провайдеры, включая ,
, и , с сегодняшнего дня системы перехвата HTTPS-трафика клиентов с подменой изначально используемого сертификата. Изначально систему перехвата планировалось внедрить в 2016 году, но это операция постоянно откладывалась и закон уже стал восприниматься как формальный. Перехват осуществляется заботы о безопасности пользователей и желания оградить их от предоставляющего угрозу контента.
Для отключения вывода в браузерах предупреждения о применении некорректного сертификата пользователям установить на свои системы ««, который применяется при трансляции защищенного трафика к зарубежным сайтам (например, уже фиксируется подмена трафика к Facebook).
При установке TLS-соединения реальный сертификат целевого сайта подменяется сгенерированным на лету новым сертификатом, который будет помечен браузером как достоверный, если «национальный сертификат безопасности» был добавлен пользователем в хранилище корневых сертификатов, так как подставной сертификат связан цепочкой доверия с «национальным сертификатом безопасности».
По сути в Казахстане полностью скомпрометирована предоставляемая протоколом HTTPS защита и все HTTPS запросы с позиции возможности отслеживания и подмены трафика спецслужбами мало чем отличаются от HTTP. Проконтролировать злоупотребления в такой схеме невозможно, в том числе при попадании связанных с «национальный сертификат безопасности» ключей шифрования в другие руки в результате утечки.
브라우저 개발자 добавить применяемый для перехвата корневой сертификат в список отозванных сертификатов (OneCRL), как недавно Mozilla с сертификатами удостоверяющего центра DarkMatter. Но смысл такой операции не совсем ясен (в прошлых обсуждениях его посчитали бесполезным), так как в случае с «национальным сертификатом безопасности» этот сертификат изначально не охвачен цепочками доверия и без установки сертификата пользователем браузеры и так выводят предупреждение. С другой стороны, отсутствие реакции со стороны производителей браузеров может стимулировать внедрение подобных систем в других странах. В качестве варианта предлагается также реализовать новый индикатор для локально установленных сертификатов, уличённых в MITM-атаках.
출처 : opennet.ru