De acordo com as que estão em vigor no Cazaquistão desde 2016 à Lei “Sobre Comunicações”, muitos provedores do Cazaquistão, incluindo ,
, и , de hoje sistemas de interceptação de tráfego HTTPS de clientes com substituição do certificado inicialmente utilizado. Inicialmente, o sistema de interceptação estava previsto para ser implantado em 2016, mas essa operação foi constantemente adiada e a lei passou a ser percebida como formal. A interceptação é realizada preocupações com a segurança dos usuários e o desejo de protegê-los de conteúdos que representem uma ameaça.
Para desativar avisos nos navegadores sobre o uso de um certificado incorreto para os usuários instalar em seus sistemas "“, que é usado ao transmitir tráfego protegido para sites estrangeiros (por exemplo, a substituição de tráfego para o Facebook já foi detectada).
Quando uma conexão TLS é estabelecida, o certificado real do site de destino é substituído por um novo certificado gerado instantaneamente, que será marcado pelo navegador como confiável se o “certificado de segurança nacional” tiver sido adicionado pelo usuário ao certificado raiz store, uma vez que o certificado fictício está ligado por uma cadeia de confiança ao “certificado de segurança nacional” .
Na verdade, no Cazaquistão, a proteção fornecida pelo protocolo HTTPS está completamente comprometida, e todas as solicitações HTTPS não são muito diferentes do HTTP do ponto de vista da possibilidade de rastreamento e substituição de tráfego por agências de inteligência. É impossível controlar os abusos num tal esquema, inclusive se as chaves de encriptação associadas ao “certificado de segurança nacional” caírem em outras mãos como resultado de uma fuga.
Desenvolvedores de navegador adicione o certificado raiz usado para interceptação à lista de revogação de certificados (OneCRL), como recentemente Mozilla com certificados da autoridade de certificação DarkMatter. Mas o significado de tal operação não é totalmente claro (em discussões anteriores foi considerado inútil), uma vez que no caso de um “certificado de segurança nacional” este certificado não é inicialmente coberto por cadeias de confiança e sem que o usuário instale o certificado, os navegadores já exibirão um aviso. Por outro lado, a falta de resposta dos fabricantes de navegadores pode encorajar a introdução de sistemas semelhantes em outros países. Como opção, propõe-se também a implementação de um novo indicador para certificados instalados localmente capturados em ataques MITM.
Fonte: opennet.ru
