, и anunciou a colocação do “» às listas de revogação de certificados. O uso deste certificado raiz agora resultará em um aviso de segurança no Firefox, Chrome/Chromium e Safari, bem como em produtos derivados com base em seu código.
Recordemos que em Julho, no Cazaquistão, houve instalação de controle governamental sobre o tráfego seguro para sites estrangeiros sob o pretexto de proteger os usuários. Os assinantes de vários grandes provedores foram obrigados a instalar um certificado raiz especial em seus computadores, o que permitiria aos provedores interceptar silenciosamente o tráfego criptografado e inserir conexões HTTPS.
Ao mesmo tempo havia tenta usar este certificado na prática para falsificar o tráfego para Google, Facebook, Odnoklassniki, VKontakte, Twitter, YouTube e outros recursos. Quando uma conexão TLS foi estabelecida, o certificado real do site de destino foi substituído por um novo certificado gerado instantaneamente, que foi marcado pelo navegador como confiável se o “certificado de segurança nacional” fosse adicionado pelo usuário ao armazenamento de certificados raiz , uma vez que o certificado fictício estava ligado por uma cadeia de confiança ao “certificado de segurança nacional”. Sem instalar este certificado, não foi possível estabelecer uma conexão segura com os sites mencionados sem utilizar ferramentas adicionais como Tor ou VPN.
As primeiras tentativas de espionar conexões seguras no Cazaquistão foram feitas em 2015, quando o governo cazaque certifique-se de que o certificado raiz da autoridade de certificação controlada esteja incluído no armazenamento de certificados raiz da Mozilla. A auditoria revelou a intenção de utilizar este certificado para espionar os utilizadores e o pedido foi rejeitado. Um ano depois, no Cazaquistão, havia
alterações à Lei “Sobre Comunicações”, exigindo a instalação de um certificado pelos próprios utilizadores, mas na prática, a aplicação deste certificado começou apenas em meados de julho de 2019.
Há duas semanas, a introdução de um “certificado de segurança nacional” com a explicação de que se tratava apenas de testar a tecnologia. Os provedores foram instruídos a parar de impor certificados aos usuários, mas duas semanas após a implementação, muitos usuários cazaques já haviam instalado o certificado, portanto o potencial de interceptação de tráfego não desapareceu. Com o encerramento do projeto, aumentou também o perigo de as chaves de encriptação associadas ao “certificado de segurança nacional” caírem em outras mãos em consequência da fuga de dados (o certificado gerado é válido até 2024).
Um certificado imposto que não pode ser recusado viola o esquema de verificação dos centros de certificação, uma vez que a autoridade que gerou este certificado não passou por uma auditoria de segurança, não concordou com os requisitos dos centros de certificação e não é obrigada a seguir as regras estabelecidas, ou seja, pode emitir um certificado para qualquer site para qualquer usuário sob qualquer pretexto.
A Mozilla acredita que tal atividade prejudica a segurança do usuário e é contrária ao quarto princípio , que considera a segurança e a privacidade como fatores fundamentais.
Fonte: opennet.ru