In overeenstemming met de regels die sinds 2016 in Kazachstan gelden aan de wet “Over communicatie”, veel Kazachse providers, waaronder ,
, и , vanaf vandaag systemen voor het onderscheppen van client-HTPS-verkeer met vervanging van het aanvankelijk gebruikte certificaat. Aanvankelijk was het de bedoeling dat het interceptiesysteem in 2016 zou worden geïmplementeerd, maar deze operatie werd voortdurend uitgesteld en de wet begon als formeel te worden ervaren. Er wordt onderschept zorgen over de veiligheid van gebruikers en de wens om hen te beschermen tegen inhoud die een bedreiging vormt.
Om waarschuwingen in browsers over het gebruik van een onjuist certificaat voor gebruikers uit te schakelen installeren op uw systemen "“, dat wordt gebruikt bij het uitzenden van beveiligd verkeer naar buitenlandse sites (verkeersvervanging naar Facebook is bijvoorbeeld al gedetecteerd).
Wanneer een TLS-verbinding tot stand is gebracht, wordt het echte certificaat van de doelsite vervangen door een nieuw certificaat dat ter plekke wordt gegenereerd en dat door de browser als betrouwbaar wordt gemarkeerd als het “nationale veiligheidscertificaat” door de gebruiker aan het rootcertificaat is toegevoegd opslaan, aangezien het dummy-certificaat door een vertrouwensketen is verbonden met het “nationale veiligheidscertificaat” .
In Kazachstan is de bescherming die door het HTTPS-protocol wordt geboden volledig aangetast, en alle HTTPS-verzoeken verschillen niet veel van HTTP vanuit het oogpunt van de mogelijkheid om verkeer door inlichtingendiensten te volgen en te vervangen. Het is onmogelijk om misbruiken in een dergelijk systeem onder controle te houden, ook niet als encryptiesleutels die verband houden met het “nationale veiligheidscertificaat” als gevolg van een lek in andere handen vallen.
Browser-ontwikkelaars voeg het rootcertificaat dat wordt gebruikt voor onderschepping toe aan de certificaatintrekkingslijst (OneCRL), zoals onlangs Mozilla met certificaten van de DarkMatter-certificeringsinstantie. Maar de betekenis van een dergelijke operatie is niet helemaal duidelijk (in eerdere discussies werd het als nutteloos beschouwd), aangezien in het geval van een “nationaal veiligheidscertificaat” dit certificaat in eerste instantie niet gedekt wordt door vertrouwensketens en zonder dat de gebruiker het certificaat installeert. browsers geven al een waarschuwing weer. Aan de andere kant kan het gebrek aan reactie van browserfabrikanten de introductie van soortgelijke systemen in andere landen aanmoedigen. Als optie wordt ook voorgesteld om een nieuwe indicator te implementeren voor lokaal geïnstalleerde certificaten die bij MITM-aanvallen worden betrapt.
Bron: opennet.ru