, и kondigde de plaatsing aan van de “» naar de certificaatintrekkingslijsten. Gebruik van dit rootcertificaat zal nu resulteren in een beveiligingswaarschuwing in Firefox, Chrome/Chromium en Safari, evenals afgeleide producten op basis van hun code.
Laten we niet vergeten dat er in juli in Kazachstan was installatie van overheidscontrole over veilig verkeer naar buitenlandse sites onder het voorwendsel om gebruikers te beschermen. Abonnees van een aantal grote providers kregen de opdracht een speciaal rootcertificaat op hun computers te installeren, waardoor de providers in stilte versleuteld verkeer konden onderscheppen en in HTTPS-verbindingen konden wiggen.
Tegelijkertijd waren er probeert dit certificaat in de praktijk te gebruiken om verkeer naar Google, Facebook, Odnoklassniki, VKontakte, Twitter, YouTube en andere bronnen te vervalsen. Toen een TLS-verbinding tot stand werd gebracht, werd het echte certificaat van de doelsite vervangen door een nieuw certificaat dat ter plekke werd gegenereerd en dat door de browser als betrouwbaar werd gemarkeerd als het “nationale veiligheidscertificaat” door de gebruiker werd toegevoegd aan het rootcertificaatarchief , aangezien het dummycertificaat door een vertrouwensketen was gekoppeld aan het “nationale veiligheidscertificaat”. Zonder dit certificaat te installeren was het niet mogelijk om een veilige verbinding met de genoemde sites tot stand te brengen zonder gebruik te maken van extra tools zoals Tor of VPN.
De eerste pogingen om beveiligde verbindingen in Kazachstan te bespioneren werden in 2015 ondernomen, toen de Kazachse regering zorg ervoor dat het basiscertificaat van de gecontroleerde certificeringsinstantie is opgenomen in het Mozilla-basiscertificaatarchief. Uit de audit bleek de intentie om dit certificaat te gebruiken om gebruikers te bespioneren en de aanvraag werd afgewezen. Een jaar later waren er in Kazachstan
wijzigingen in de wet inzake communicatie, die de installatie van een certificaat door gebruikers zelf vereisen, maar in de praktijk begon de handhaving van dit certificaat pas medio juli 2019.
Twee weken geleden vond de introductie van een “nationaal veiligheidscertificaat” plaats met de uitleg dat dit alleen maar het testen van de technologie was. Providers kregen de opdracht te stoppen met het opleggen van certificaten aan gebruikers, maar binnen twee weken na implementatie hadden veel Kazachse gebruikers het certificaat al geïnstalleerd, waardoor de kans op verkeersonderschepping niet verdween. Met de afbouw van het project is ook het gevaar toegenomen dat encryptiesleutels die verband houden met het “nationale veiligheidscertificaat” in andere handen vallen als gevolg van datalekken (het gegenereerde certificaat is geldig tot 2024).
Een opgelegd certificaat dat niet kan worden geweigerd, is in strijd met de verificatieregeling voor certificatiecentra, aangezien de autoriteit die dit certificaat heeft gegenereerd geen veiligheidsaudit heeft ondergaan, niet akkoord is gegaan met de eisen voor certificatiecentra en niet verplicht is de vastgestelde regels te volgen, dat wil zeggen: kan onder welk voorwendsel dan ook een certificaat voor elke site aan elke gebruiker afgeven.
Mozilla is van mening dat dergelijke activiteiten de veiligheid van gebruikers ondermijnen en in strijd zijn met het vierde principe , waarin veiligheid en privacy als fundamentele factoren worden beschouwd.
Bron: opennet.ru