, и meddelade placeringen av "» till certifikatspärrlistorna. Att använda det här rotcertifikatet kommer nu att resultera i en säkerhetsvarning i Firefox, Chrome/Chromium och Safari, samt härledda produkter baserade på deras kod.
Låt oss komma ihåg att det var i juli i Kazakstan installation av statlig kontroll över säker trafik till utländska webbplatser under förevändning att skydda användare. Prenumeranter hos ett antal stora leverantörer beordrades att installera ett speciellt rotcertifikat på sina datorer, vilket skulle göra det möjligt för leverantörerna att tyst fånga upp krypterad trafik och kila in i HTTPS-anslutningar.
Samtidigt fanns det försöker använda detta certifikat i praktiken för att förfalska trafik till Google, Facebook, Odnoklassniki, VKontakte, Twitter, YouTube och andra resurser. När en TLS-anslutning upprättades ersattes det riktiga certifikatet för målplatsen med ett nytt certifikat som genererades i farten, vilket markerades av webbläsaren som pålitligt om det "nationella säkerhetscertifikatet" lades till av användaren i rotcertifikatarkivet , eftersom dummycertifikatet var kopplat av en förtroendekedja till det "nationella säkerhetscertifikatet". Utan att installera detta certifikat var det inte möjligt att upprätta en säker anslutning till de nämnda sajterna utan att använda ytterligare verktyg som Tor eller VPN.
De första försöken att spionera på säkra förbindelser i Kazakstan gjordes 2015, när den kazakiska regeringen se till att rotcertifikatet för den kontrollerade certifieringsmyndigheten ingår i Mozillas rotcertifikatarkiv. Granskningen avslöjade en avsikt att använda detta certifikat för att spionera på användare och ansökan avslogs. Ett år senare i Kazakstan fanns det
ändringar av lagen "om kommunikation", som kräver installation av ett certifikat av användarna själva, men i praktiken började tillämpningen av detta certifikat först i mitten av juli 2019.
För två veckor sedan infördes ett "nationellt säkerhetscertifikat" med förklaringen att detta bara var att testa tekniken. Leverantörer instruerades att sluta påtvinga användare certifikat, men inom två veckor efter implementeringen hade många kazakiska användare redan installerat certifikatet, så potentialen för trafikavlyssning försvann inte. I och med avvecklingen av projektet har också risken för att krypteringsnycklar kopplade till det ”nationella säkerhetscertifikatet” hamnar i andra händer till följd av dataläckage ökat (det genererade certifikatet är giltigt till 2024).
Ett ålagt certifikat som inte kan vägras bryter mot certifieringscentras verifieringsschema, eftersom den myndighet som genererade detta certifikat inte genomgick en säkerhetsrevision, inte gick med på kraven för certifieringscenter och inte är skyldig att följa de fastställda reglerna, d.v.s. kan utfärda ett certifikat för vilken webbplats som helst till vilken användare som helst under vilken förevändning som helst.
Mozilla anser att sådan aktivitet undergräver användarsäkerheten och strider mot den fjärde principen , som betraktar säkerhet och integritet som grundläggande faktorer.
Källa: opennet.ru