, и paziņoja par "» uz sertifikātu anulēšanas sarakstiem. Izmantojot šo saknes sertifikātu, pārlūkprogrammās Firefox, Chrome/Chromium un Safari, kā arī atvasinātajos produktos tiks parādīts drošības brīdinājums, pamatojoties uz to kodu.
Atcerēsimies, ka jūlijā Kazahstānā bija valdības kontroles uzstādīšana pār drošu trafiku uz ārvalstu vietnēm, aizbildinoties ar lietotāju aizsardzību. Vairāku lielu pakalpojumu sniedzēju abonentiem tika dots rīkojums savos datoros instalēt īpašu saknes sertifikātu, kas ļautu pakalpojumu sniedzējiem mierīgi pārtvert šifrētu trafiku un iespraust HTTPS savienojumus.
Tajā pašā laikā bija mēģina praksē izmantot šo sertifikātu, lai novirzītu trafiku uz Google, Facebook, Odnoklassniki, VKontakte, Twitter, YouTube un citiem resursiem. Kad tika izveidots TLS savienojums, mērķa vietnes īstais sertifikāts tika aizstāts ar jaunu, lidojumā ģenerētu sertifikātu, kuru pārlūkprogramma atzīmēja kā uzticamu, ja lietotājs saknes sertifikātu krātuvei pievienoja “nacionālās drošības sertifikātu”. , jo fiktīvais sertifikāts bija saistīts ar uzticības ķēdi ar “valsts drošības sertifikātu”. Neinstalējot šo sertifikātu, nebija iespējams izveidot drošu savienojumu ar minētajām vietnēm, neizmantojot papildu rīkus, piemēram, Tor vai VPN.
Pirmie mēģinājumi izspiegot drošus savienojumus Kazahstānā tika veikti 2015. gadā, kad Kazahstānas valdība nodrošināt, ka kontrolētās sertifikācijas iestādes saknes sertifikāts ir iekļauts Mozilla saknes sertifikātu krātuvē. Revīzijā tika atklāts nodoms izmantot šo sertifikātu lietotāju izspiegošanai, un pieteikums tika noraidīts. Gadu vēlāk Kazahstānā bija
grozījumi likumā “Par sakariem”, paredzot, ka sertifikātu uzstāda paši lietotāji, taču praksē šī sertifikāta ieviešana sākās tikai 2019. gada jūlija vidū.
Pirms divām nedēļām tika ieviests “valsts drošības sertifikāts” ar paskaidrojumu, ka šī ir tikai tehnoloģijas pārbaude. Pakalpojumu sniedzējiem tika dots norādījums pārtraukt sertifikātu uzlikšanu lietotājiem, taču divu nedēļu laikā pēc ieviešanas daudzi Kazahstānas lietotāji sertifikātu jau bija uzstādījuši, tāpēc satiksmes pārtveršanas potenciāls nepazuda. Līdz ar projekta izbeigšanu ir palielinājies arī risks, ka ar “valsts drošības sertifikātu” saistītās šifrēšanas atslēgas datu noplūdes rezultātā nonāks citās rokās (ģenerētais sertifikāts ir derīgs līdz 2024. gadam).
Uzliktais sertifikāts, kuru nevar atteikt, pārkāpj sertifikācijas centru verifikācijas shēmu, jo iestāde, kas ģenerēja šo sertifikātu, nav veikusi drošības auditu, nepiekrita sertifikācijas centru prasībām un tai nav pienākuma ievērot noteiktos noteikumus, t.i. var izsniegt jebkuras vietnes sertifikātu jebkuram lietotājam ar jebkādu ieganstu.
Mozilla uzskata, ka šāda darbība grauj lietotāju drošību un ir pretrunā ar ceturto principu , kas par pamatfaktoriem uzskata drošību un privātumu.
Avots: opennet.ru