În conformitate cu cele în vigoare în Kazahstan din 2016 la Legea „Cu privire la comunicații”, mulți furnizori kazahi, inclusiv ,
, и , de astazi sisteme de interceptare a traficului HTTPS client cu înlocuirea certificatului utilizat inițial. Inițial, sistemul de interceptare era planificat a fi implementat în 2016, dar această operațiune a fost amânată constant și legea a început să fie percepută ca formală. Interceptarea este efectuată preocupări cu privire la siguranța utilizatorilor și dorința de a-i proteja de conținutul care reprezintă o amenințare.
Pentru a dezactiva avertismentele din browsere cu privire la utilizarea unui certificat incorect pentru utilizatori instalați pe sistemele dvs."„, care este utilizat atunci când se difuzează trafic protejat către site-uri străine (de exemplu, înlocuirea traficului către Facebook a fost deja detectată).
Când se stabilește o conexiune TLS, certificatul real al site-ului țintă este înlocuit cu un nou certificat generat din mers, care va fi marcat de browser ca fiind de încredere dacă „certificatul de securitate națională” a fost adăugat de utilizator la certificatul rădăcină. magazin, deoarece certificatul fals este legat printr-un lanț de încredere cu „certificatul de securitate națională”.
De fapt, în Kazahstan, protecția oferită de protocolul HTTPS este complet compromisă, iar toate solicitările HTTPS nu diferă cu mult de HTTP din punctul de vedere al posibilității de urmărire și înlocuire a traficului de către agențiile de informații. Este imposibil să controlați abuzurile într-o astfel de schemă, inclusiv dacă cheile de criptare asociate cu „certificatul de securitate națională” cad în alte mâini ca urmare a unei scurgeri.
Dezvoltatori de browsere adăugați certificatul rădăcină utilizat pentru interceptare la lista de revocare a certificatelor (OneCRL), ca recent Mozilla cu certificate de la autoritatea de certificare DarkMatter. Însă sensul unei astfel de operațiuni nu este complet clar (în discuțiile anterioare a fost considerat inutil), deoarece în cazul unui „certificat de securitate națională” acest certificat nu este acoperit inițial de lanțuri de încredere și fără ca utilizatorul să instaleze certificatul, browserele vor afișa deja un avertisment. Pe de altă parte, lipsa de răspuns din partea producătorilor de browsere poate încuraja introducerea unor sisteme similare în alte țări. Opțional, se propune și implementarea unui nou indicator pentru certificatele instalate local prinse în atacurile MITM.
Sursa: opennet.ru