Në përputhje me ato në fuqi në Kazakistan që nga viti 2016 në Ligjin "Për Komunikimet", shumë ofrues kazakë, duke përfshirë ,
, и , nga sot sistemet për përgjimin e trafikut të klientit HTTPS me zëvendësimin e certifikatës së përdorur fillimisht. Fillimisht, sistemi i përgjimit ishte planifikuar të vihej në zbatim në vitin 2016, por ky operacion u shty vazhdimisht dhe ligji filloi të perceptohej si formal. Përgjimi kryhet shqetësimet për sigurinë e përdoruesve dhe dëshirën për t'i mbrojtur ata nga përmbajtja që përbën një kërcënim.
Për të çaktivizuar paralajmërimet në shfletues për përdorimin e një certifikate të pasaktë për përdoruesit instaloni në sistemet tuaja "", i cili përdoret kur transmetohet trafiku i mbrojtur në faqet e huaja (për shembull, zëvendësimi i trafikut në Facebook tashmë është zbuluar).
Kur krijohet një lidhje TLS, certifikata e vërtetë e faqes së synuar zëvendësohet nga një certifikatë e re e krijuar në fluturim, e cila do të shënohet nga shfletuesi si e besueshme nëse "certifikata e sigurisë kombëtare" është shtuar nga përdoruesi në certifikatën rrënjësore. ruajnë, pasi certifikata dummy është e lidhur nga një zinxhir besimi me "certifikatën e sigurisë kombëtare" .
Në fakt, në Kazakistan, mbrojtja e ofruar nga protokolli HTTPS është komprometuar plotësisht dhe të gjitha kërkesat HTTPS nuk janë shumë të ndryshme nga HTTP nga pikëpamja e mundësisë së gjurmimit dhe zëvendësimit të trafikut nga agjencitë e inteligjencës. Është e pamundur të kontrollohen abuzimet në një skemë të tillë, duke përfshirë nëse çelësat e enkriptimit të lidhur me "çertifikatën e sigurisë kombëtare" bien në duar të tjera si rezultat i një rrjedhjeje.
Zhvilluesit e shfletuesve shtoni certifikatën rrënjësore të përdorur për përgjimin në listën e revokimit të certifikatës (OneCRL), si së fundmi Mozilla me certifikata nga autoriteti i certifikimit DarkMatter. Por kuptimi i një operacioni të tillë nuk është plotësisht i qartë (në diskutimet e kaluara është konsideruar i padobishëm), pasi në rastin e një "çertifikate të sigurisë kombëtare" kjo certifikatë fillimisht nuk mbulohet nga zinxhirët e besimit dhe pa instaluar certifikatën nga përdoruesi, shfletuesit do të shfaqin tashmë një paralajmërim. Nga ana tjetër, mungesa e përgjigjes nga prodhuesit e shfletuesve mund të inkurajojë futjen e sistemeve të ngjashme në vende të tjera. Si opsion, propozohet gjithashtu të zbatohet një tregues i ri për certifikatat e instaluara në nivel lokal të kapur në sulmet MITM.
Burimi: opennet.ru