V skladu s tistimi, ki v Kazahstanu veljajo od leta 2016 zakona o komunikacijah, mnogi kazahstanski ponudniki, vključno z ,
, и , od danes sistemi za prestrezanje odjemalskega HTTPS prometa z zamenjavo prvotno uporabljenega certifikata. Sprva je bil sistem prestrezanja načrtovan za izvedbo leta 2016, vendar je bila ta operacija nenehno odložena in zakon se je začel dojemati kot formalen. Prestrezanje se izvaja zaskrbljenost glede varnosti uporabnikov in želja po njihovi zaščiti pred vsebino, ki predstavlja grožnjo.
Za onemogočanje opozoril v brskalnikih o uporabi nepravilnega certifikata uporabnikom namestite v svoje sisteme "“, ki se uporablja pri oddajanju zaščitenega prometa na tuje strani (npr. že zaznana zamenjava prometa na Facebook).
Ko je vzpostavljena povezava TLS, se pravo potrdilo ciljnega mesta nadomesti z novim sproti ustvarjenim potrdilom, ki ga bo brskalnik označil kot zaupanja vrednega, če je uporabnik korenskemu potrdilu dodal »državno varnostno potrdilo«. trgovina, saj je navidezno potrdilo povezano z verigo zaupanja s »certifikatom nacionalne varnosti«.
Dejansko je v Kazahstanu zaščita, ki jo zagotavlja protokol HTTPS, popolnoma ogrožena in vse zahteve HTTPS se ne razlikujejo veliko od HTTP z vidika možnosti sledenja in zamenjave prometa s strani obveščevalnih agencij. V takšni shemi je nemogoče nadzorovati zlorabe, tudi če šifrirni ključi, povezani s »certifikatom nacionalne varnosti« zaradi uhajanja podatkov padejo v druge roke.
Razvijalci brskalnikov dodajte korensko potrdilo, ki se uporablja za prestrezanje, na seznam preklicanih potrdil (OneCRL), kot nedavno Mozilla s certifikati overitelja DarkMatter. Vendar pomen takšne operacije ni povsem jasen (v preteklih razpravah je veljalo za neuporabno), saj v primeru »certifikata nacionalne varnosti« to potrdilo na začetku ni pokrito z verigami zaupanja in ne da bi uporabnik potrdilo namestil, brskalniki bodo že prikazali opozorilo. Po drugi strani pa lahko neodziv proizvajalcev brskalnikov spodbudi uvedbo podobnih sistemov v drugih državah. Kot možnost je predlagana tudi implementacija novega indikatorja za lokalno nameščena potrdila, ujeta v napadih MITM.
Vir: opennet.ru