, и ogłosił umieszczenie „» do list unieważnień certyfikatów. Użycie tego certyfikatu głównego będzie teraz skutkować wyświetleniem ostrzeżenia dotyczącego bezpieczeństwa w przeglądarkach Firefox, Chrome/Chromium i Safari, a także w produktach pochodnych opartych na ich kodzie.
Przypomnijmy, że w lipcu w Kazachstanie było instalowanie kontroli rządowej nad bezpiecznym ruchem do zagranicznych stron internetowych pod pretekstem ochrony użytkowników. Abonentom kilku dużych dostawców nakazano zainstalować na swoich komputerach specjalny certyfikat główny, który umożliwiłby dostawcom ciche przechwytywanie zaszyfrowanego ruchu i wtapianie się w połączenia HTTPS.
W tym samym czasie były próbuje w praktyce wykorzystać ten certyfikat do fałszowania ruchu do Google, Facebooka, Odnoklassniki, VKontakte, Twittera, YouTube i innych zasobów. W momencie nawiązania połączenia TLS prawdziwy certyfikat strony docelowej został zastąpiony nowym, wygenerowanym w locie, który został oznaczony przez przeglądarkę jako godny zaufania w przypadku dodania przez użytkownika „certyfikatu bezpieczeństwa narodowego” do głównego magazynu certyfikatów , ponieważ fikcyjny certyfikat był powiązany łańcuchem zaufania z „certyfikatem bezpieczeństwa narodowego”. Bez zainstalowania tego certyfikatu nie było możliwe nawiązanie bezpiecznego połączenia z wymienionymi stronami bez użycia dodatkowych narzędzi takich jak Tor czy VPN.
Pierwsze próby szpiegowania bezpiecznych połączeń w Kazachstanie miały miejsce w 2015 roku, kiedy rząd Kazachstanu upewnij się, że certyfikat główny kontrolowanego urzędu certyfikacji znajduje się w głównym magazynie certyfikatów Mozilli. Kontrola wykazała zamiar wykorzystania tego certyfikatu do szpiegowania użytkowników, w związku z czym wniosek został odrzucony. Rok później w Kazachstanie były
zmiany w ustawie „O łączności”, wymagające samodzielnego zainstalowania certyfikatu przez użytkowników, ale w praktyce egzekwowanie tego certyfikatu rozpoczęło się dopiero w połowie lipca 2019 r.
Dwa tygodnie temu wprowadzenie „świadectwa bezpieczeństwa narodowego” z wyjaśnieniem, że było to jedynie testowanie technologii. Dostawcom polecono zaprzestać narzucania użytkownikom certyfikatów, ale w ciągu dwóch tygodni od wdrożenia wielu kazachskich użytkowników zainstalowało już certyfikat, więc potencjał przechwytywania ruchu nie zniknął. Wraz z zakończeniem projektu wzrosło także niebezpieczeństwo, że klucze szyfrujące związane z „certyfikatem bezpieczeństwa narodowego” wpadną w obce ręce na skutek wycieku danych (wygenerowany certyfikat ważny jest do 2024 roku).
Narzucony certyfikat, którego nie można odmówić, narusza schemat weryfikacji ośrodków certyfikacji, gdyż organ, który ten certyfikat wygenerował, nie przeszedł audytu bezpieczeństwa, nie zgodził się z wymaganiami stawianymi centrom certyfikacji i nie jest zobowiązany do przestrzegania ustalonych zasad, tj. może wystawić certyfikat dla dowolnej witryny dowolnemu użytkownikowi pod dowolnym pretekstem.
Mozilla uważa, że takie działanie zagraża bezpieczeństwu użytkowników i jest sprzeczne z czwartą zasadą , w którym bezpieczeństwo i prywatność uznaje się za czynniki podstawowe.
Źródło: opennet.ru