ProHoster > Blog > wiadomości internetowe > W Kazachstanie wielu dużych dostawców wdrożyło przechwytywanie ruchu HTTPS

W Kazachstanie wielu dużych dostawców wdrożyło przechwytywanie ruchu HTTPS

Zgodnie z obowiązującymi w Kazachstanie od 2016 roku poprawki do ustawy „O komunikacji”, wielu kazachskich dostawców, w tym kcell,
linia powietrzna, Tele2 и Altel, od dzisiaj oddany do użytku systemy przechwytywania ruchu HTTPS klientów z podstawieniem pierwotnie używanego certyfikatu. Początkowo planowano wdrożenie systemu przechwytywania w 2016 roku, jednak operację tę stale odkładano, a prawo zaczęto postrzegać jako formalne. Przechwytywanie jest przeprowadzane pod przykrywką obawy o bezpieczeństwo użytkowników i chęć ich ochrony przed treściami stwarzającymi zagrożenie.

Aby wyłączyć ostrzeżenia w przeglądarkach o użyciu nieprawidłowego certyfikatu dla użytkowników przepisany zainstaluj w swoich systemach”certyfikat bezpieczeństwa narodowego„, który jest używany podczas transmisji chronionego ruchu do obcych stron (na przykład wykryto już substytucję ruchu do Facebooka).

W momencie nawiązania połączenia TLS prawdziwy certyfikat strony docelowej zostaje zastąpiony nowym, wygenerowanym na bieżąco certyfikatem, który zostanie oznaczony przez przeglądarkę jako godny zaufania, jeśli użytkownik doda do certyfikatu głównego „certyfikat bezpieczeństwa narodowego” sklepu, ponieważ fikcyjny certyfikat jest powiązany łańcuchem zaufania z „certyfikatem bezpieczeństwa narodowego”.

W rzeczywistości w Kazachstanie ochrona zapewniana przez protokół HTTPS jest całkowicie zagrożona, a wszystkie żądania HTTPS niewiele różnią się od HTTP z punktu widzenia możliwości śledzenia i podstawiania ruchu przez agencje wywiadowcze. W takim schemacie nie da się zapanować nad nadużyciami, także w przypadku, gdy klucze szyfrujące powiązane z „certyfikatem bezpieczeństwa narodowego” w wyniku wycieku dostaną się w inne ręce.

Twórcy przeglądarek rozważają propozycja dodaj certyfikat główny używany do przechwytywania do listy unieważnionych certyfikatów (OneCRL), tak jak ostatnio Mozilla weszła z certyfikatami urzędu certyfikacji DarkMatter. Jednak sens takiej operacji nie jest do końca jasny (w poprzednich dyskusjach uznawano ją za bezużyteczną), gdyż w przypadku „certyfikatu bezpieczeństwa narodowego” certyfikat ten nie jest początkowo objęty łańcuchami zaufania i bez instalowania certyfikatu przez użytkownika, przeglądarki będą już wyświetlać ostrzeżenie. Z drugiej strony brak reakcji ze strony producentów przeglądarek może zachęcić do wprowadzenia podobnych systemów w innych krajach. Opcjonalnie proponuje się także wdrożenie nowego wskaźnika lokalnie zainstalowanych certyfikatów złapanych w atakach MITM.

Źródło: opennet.ru

Dodaj komentarz