V súlade s pravidlami platnými v Kazachstane od roku 2016 k zákonu „o komunikáciách“, mnohí kazašskí poskytovatelia, vrátane ,
, и , oddnes systémy na zachytenie klientskej návštevnosti HTTPS nahradením pôvodne použitého certifikátu. Pôvodne sa plánovalo zavedenie odpočúvacieho systému v roku 2016, no táto operácia sa neustále odkladala a zákon sa začal vnímať ako formálny. Vykonáva sa odpočúvanie obavy o bezpečnosť používateľov a túžba chrániť ich pred obsahom, ktorý predstavuje hrozbu.
Zakázať upozornenia v prehliadačoch na používanie nesprávneho certifikátu pre používateľov nainštalovať do svojich systémov"“, ktorý sa používa pri vysielaní chránenej návštevnosti na zahraničné stránky (napríklad už bolo zistené nahradenie návštevnosti Facebooku).
Po vytvorení pripojenia TLS je skutočný certifikát cieľovej stránky nahradený novým certifikátom vygenerovaným za behu, ktorý bude prehliadačom označený ako dôveryhodný, ak používateľ pridal do koreňového certifikátu „národný bezpečnostný certifikát“ obchod, keďže fiktívny certifikát je prepojený reťazcom dôvery s „certifikátom národnej bezpečnosti“ .
V skutočnosti je v Kazachstane ochrana poskytovaná protokolom HTTPS úplne ohrozená a všetky požiadavky HTTPS sa príliš nelíšia od HTTP z hľadiska možnosti sledovania a nahrádzania prevádzky spravodajskými agentúrami. V takejto schéme nie je možné kontrolovať zneužívanie, vrátane prípadu, ak sa šifrovacie kľúče spojené s „certifikátom národnej bezpečnosti“ dostanú do iných rúk v dôsledku úniku.
Vývojári prehliadačov pridajte koreňový certifikát používaný na zachytenie do zoznamu zrušených certifikátov (OneCRL), ako nedávno Mozilla s certifikátmi od certifikačnej autority DarkMatter. Význam takejto operácie však nie je celkom jasný (v minulých diskusiách sa považoval za zbytočnú), keďže v prípade „certifikátu národnej bezpečnosti“ tento certifikát nie je spočiatku krytý reťazami dôvery a bez toho, aby si používateľ nainštaloval certifikát, prehliadače už zobrazia varovanie. Na druhej strane nedostatočná odozva zo strany výrobcov prehliadačov môže povzbudiť zavedenie podobných systémov v iných krajinách. Ako možnosť sa tiež navrhuje implementovať nový indikátor pre lokálne nainštalované certifikáty zachytené pri útokoch MITM.
Zdroj: opennet.ru