🥇Di Kazakhstan, sajumlah panyadia ageung parantos ngalaksanakeun intersépsi lalu lintas HTTPS

Luyu sareng anu dikuatkeun di Kazakhstan saprak 2016 amandemen kana Hukum "Dina Komunikasi", loba panyadia Kazakh, kaasup kcell,
Beeline, Tele2 и Altel, ti ayeuna nempatkeun kana operasi sistem pikeun intercepting lalulintas HTTPS klien kalawan substitusi tina sertipikat mimitina dipaké. Mimitina, sistem interception direncanakeun pikeun dilaksanakeun dina 2016, tapi operasi ieu terus ditunda jeung hukum mimiti dianggap salaku formal. Interception dilaksanakeun handapeun kedok kasalempang kasalametan pamaké sarta kahayang pikeun ngajaga aranjeunna tina eusi nu nyababkeun ancaman.

Pikeun nganonaktipkeun peringatan dina browser ngeunaan pamakean sertipikat anu salah pikeun pangguna dititahkeun pasang dina sistem anjeun"sertipikat kaamanan nasional", anu dianggo nalika nyiarkeun lalu lintas anu ditangtayungan ka situs asing (contona, substitusi lalu lintas ka Facebook parantos dideteksi).

Nalika sambungan TLS diadegkeun, sertipikat nyata situs udagan diganti ku sertipikat anyar anu dihasilkeun dina laleur, anu bakal ditandaan ku browser salaku dipercaya upami "sertipikat kaamanan nasional" ditambahkeun ku pangguna kana sertipikat akar. toko, saprak sertipikat dummy numbu ku ranté tina kapercayaan jeung "sertipikat kaamanan nasional" .

Kanyataanna, di Kazakhstan, panyalindungan disadiakeun ku protokol HTTPS sagemblengna compromised, sarta sakabeh requests HTTPS teu jauh béda ti HTTP ti sudut pandang kamungkinan tracking jeung substitusi lalulintas ku agénsi kecerdasan. Teu mungkin ngadalikeun abuses dina skéma kitu, kaasup lamun konci enkripsi pakait sareng "sertipikat kaamanan nasional" digolongkeun kana leungeun séjén salaku hasil tina bocor a.

pamekar browser mertimbangkeun usulna tambahkeun sertipikat akar anu dianggo pikeun interception kana daptar panyabutan sertipikat (OneCRL), sapertos Mozilla nembe diasupkeun kalawan sertipikat ti otoritas sertifikasi DarkMatter. Tapi hartos operasi sapertos kitu henteu jelas pisan (dina diskusi anu kapungkur dianggap henteu aya gunana), sabab dina kasus "sertipikat kaamanan nasional" sertipikat ieu mimitina henteu katutupan ku ranté kapercayaan sareng tanpa masang sertipikat pangguna. browser geus bakal nembongkeun peringatan. Di sisi anu sanés, kurangna réspon ti produsén browser tiasa ngadorong ngenalkeun sistem anu sami di nagara sanés. Salaku pilihan, éta ogé diusulkeun pikeun nerapkeun indikator anyar pikeun sertipikat dipasang lokal bray dina serangan MITM.

sumber: opennet.ru

Di Kazakhstan, sajumlah panyadia badag geus dilaksanakeun HTTPS interception lalulintas

Tambahkeun komentar ngabolaykeun reply