Am Aklang mat deenen a Kraaft am Kasachstan zënter 2016 zum Gesetz "Op Kommunikatiounen", vill KasacheschName Ubidder, dorënner ,
, и , vun haut un Systemer fir de Client HTTPS Traffic mat Ersatz vum ursprénglech benotzte Zertifika ze interceptéieren. Am Ufank war d'Interceptiounssystem geplangt fir am Joer 2016 ëmzesetzen, awer dës Operatioun gouf stänneg ausgestallt an d'Gesetz huet ugefaang als formell ze gesinn. Interceptioun gëtt duerchgefouert Bedenken iwwer d'Sécherheet vun de Benotzer an de Wonsch hinnen aus Inhalt ze schützen, datt eng Gefor duerstellt.
Fir d'Warnungen an de Browser iwwer d'Benotzung vun engem falschen Zertifika fir d'Benotzer auszeschalten installéieren op Äre Systemer "", déi benotzt gëtt wann de geschützte Verkéier op auslännesche Site iwwerdroe gëtt (zum Beispill, Traffic Ersatz op Facebook gouf scho festgestallt).
Wann eng TLS Verbindung etabléiert ass, gëtt de richtege Certificat vun der Zil-Site ersat duerch en neien Zertifika, deen op der Flucht generéiert gëtt, deen vum Browser als zouverléisseg markéiert gëtt wann de "national Sécherheetszertifika" vum Benotzer an de Rootzertifika bäigefüügt gouf. Buttek, well den Dummy Zertifika ass vun enger Vertrauenskette mat dem "nationale Sécherheetszertifika" verbonnen.
Tatsächlech, am Kasachstan, ass de Schutz vum HTTPS Protokoll komplett kompromittéiert, an all HTTPS Ufroe sinn net vill anescht wéi HTTP aus der Siicht vun der Méiglechkeet vum Tracking an Ersatz vum Traffic duerch Intelligenz Agenturen. Et ass onméiglech fir Mëssbrauch an esou engem Schema ze kontrolléieren, och wann d'Verschlësselungsschlësselen verbonne mat dem "nationale Sécherheetszertifika" an aner Hänn falen als Resultat vun engem Leck.
Browser Entwéckler Füügt de Rootzertifika, dee fir d'Interceptioun benotzt gëtt, op d'Zertifikaterruchungslëscht (OneCRL) bäi, wéi viru kuerzem Mozilla mat Certificaten vun der DarkMatter Zertifizéierungsautoritéit. Awer d'Bedeitung vun esou enger Operatioun ass net ganz kloer (a fréieren Diskussiounen gouf et als nutzlos ugesinn), well am Fall vun engem "national Sécherheetszertifika" ass dësen Zertifika am Ufank net vu Vertrauensketten ofgedeckt an ouni datt de Benotzer den Zertifika installéiert huet, Browser weisen schonn eng Warnung. Op der anerer Säit kann de Mangel u Äntwert vu Browserhersteller d'Aféierung vun ähnlechen Systemer an anere Länner encouragéieren. Als Optioun gëtt et och proposéiert en neien Indikator ëmzesetzen fir lokal installéiert Zertifikater, déi an MITM Attacke gefaange sinn.
Source: opennet.ru