2016-жылдан бери Казакстанда иштеп жаткандарга ылайык «Байланыш жөнүндө» мыйзамга көптөгөн казак провайдерлери, анын ичинде ,
, и , бүгүндөн баштап алгач колдонулган сертификатты алмаштыруу менен кардардын HTTPS трафигин кармоо үчүн системалар. Алгач 2016-жылы тыңшоо тутумун ишке ашыруу пландалып, бирок бул операция тынымсыз кийинкиге жылдырылып, мыйзам формалдуу түрдө кабыл алына баштаган. Кармоо жүргүзүлөт колдонуучулардын коопсуздугуна тынчсыздануу жана аларды коркунуч туудурган мазмундан коргоо каалоосу.
Колдонуучуларга туура эмес сертификатты колдонуу жөнүндө браузерлерде эскертүүлөрдү өчүрүү системаларыңызга орнотуу"", бул чет өлкөлүк сайттарга корголгон трафикти трансляциялоодо колдонулат (мисалы, Facebook үчүн трафикти алмаштыруу мурунтан эле аныкталган).
TLS туташуусу орнотулганда, максаттуу сайттын чыныгы сертификаты тез арада түзүлгөн жаңы сертификатка алмаштырылат, эгерде колдонуучу түпкү сертификатка "улуттук коопсуздук сертификаты" кошулган болсо, браузер ишенимдүү деп белгиленет. дүкөн, анткени жасалма сертификат "улуттук коопсуздук сертификаты" менен ишеним чынжырчасы менен байланышкан.
Чынында, Казакстанда HTTPS протоколу тарабынан берилген коргоо толугу менен бузулган жана бардык HTTPS суроо-талаптары чалгындоо органдары тарабынан трафикти көзөмөлдөө жана алмаштыруу мүмкүнчүлүгү жагынан HTTPден анча деле айырмаланбайт. Мындай схемада кыянаттыктарды көзөмөлдөө мүмкүн эмес, анын ичинде “улуттук коопсуздук сертификаты” менен байланышкан шифрлөө ачкычтары агып кетүүнүн натыйжасында башкалардын колуна өтүп кетсе.
Браузерди иштеп чыгуучулар Кармоо үчүн колдонулган түпкү сертификатты жакында Mozilla сыяктуу сертификатты жокко чыгаруу тизмесине (OneCRL) кошуңуз DarkMatter сертификаттоо органынын сертификаттары менен. Бирок мындай операциянын мааниси толук түшүнүксүз (мурдагы талкууларда ал пайдасыз деп эсептелген), анткени "улуттук коопсуздук сертификаты" учурда бул сертификат алгач ишеним чынжырлары менен камтылбайт жана колдонуучу сертификатты орнотпой туруп, браузерлер мурунтан эле эскертүү көрсөтөт. Башка жагынан алганда, браузер өндүрүүчүлөрдүн жооп жоктугу башка өлкөлөрдө окшош системаларды киргизүүгө түрткү болушу мүмкүн. Опция катары, ошондой эле MITM чабуулдарынан кармалган жергиликтүү орнотулган сертификаттар үчүн жаңы индикаторду ишке ашыруу сунушталат.
Source: opennet.ru