I enlighet med de som gäller i Kazakstan sedan 2016 till lagen "om kommunikation", många kazakiska leverantörer, inklusive ,
, и , från idag system för att avlyssna klientens HTTPS-trafik med ersättning av det ursprungligen använda certifikatet. Inledningsvis var avlyssningssystemet planerat att implementeras 2016, men denna operation sköts hela tiden upp och lagen började uppfattas som formell. Avlyssning genomförs oro för användarnas säkerhet och önskan att skydda dem från innehåll som utgör ett hot.
För att inaktivera varningar i webbläsare om användning av ett felaktigt certifikat till användare installera på dina system"", som används vid sändning av skyddad trafik till utländska webbplatser (till exempel har trafikersättning till Facebook redan upptäckts).
När en TLS-anslutning upprättas ersätts målplatsens riktiga certifikat av ett nytt certifikat som genereras i farten, vilket kommer att markeras av webbläsaren som tillförlitligt om det "nationella säkerhetscertifikatet" lades till av användaren till rotcertifikatet butik, eftersom dummycertifikatet är länkat av en förtroendekedja med det "nationella säkerhetscertifikatet" .
Faktum är att i Kazakstan är skyddet som tillhandahålls av HTTPS-protokollet helt äventyrat, och alla HTTPS-förfrågningar skiljer sig inte mycket från HTTP från synpunkten av möjligheten att spåra och ersätta trafik av underrättelsebyråer. Det är omöjligt att kontrollera missbruk i ett sådant system, inklusive om krypteringsnycklar associerade med det "nationella säkerhetscertifikatet" hamnar i andra händer som ett resultat av en läcka.
Webbläsarutvecklare lägg till rotcertifikatet som används för avlyssning till listan för återkallelse av certifikat (OneCRL), som nyligen Mozilla med certifikat från certifieringsmyndigheten DarkMatter. Men innebörden av en sådan operation är inte helt klar (i tidigare diskussioner ansågs den vara värdelös), eftersom i fallet med ett "nationellt säkerhetscertifikat" täcks detta certifikat initialt inte av förtroendekedjor och utan att användaren har installerat certifikatet, webbläsare kommer redan att visa en varning. Å andra sidan kan bristen på svar från webbläsartillverkare uppmuntra till införandet av liknande system i andra länder. Som ett alternativ föreslås det också att implementera en ny indikator för lokalt installerade certifikat som fångas i MITM-attacker.
Källa: opennet.ru