కజకిస్తాన్‌లో అమలు చేయబడుతున్న “నేషనల్ సర్టిఫికేట్” Firefox, Chrome మరియు Safariలో బ్లాక్ చేయబడింది

గూగుల్, మొజిల్లా и ఆపిల్ యొక్క ప్లేస్‌మెంట్‌ను ప్రకటించింది "జాతీయ భద్రతా ప్రమాణపత్రం» సర్టిఫికేట్ రద్దు జాబితాలకు. ఈ రూట్ సర్టిఫికెట్‌ని ఉపయోగించడం వలన ఇప్పుడు Firefox, Chrome/Chromium మరియు Safari, అలాగే వాటి కోడ్ ఆధారంగా ఉత్పన్న ఉత్పత్తులలో భద్రతా హెచ్చరిక వస్తుంది.

మాకు కజాఖ్స్తాన్ లో జూలై లో గుర్తు లెట్ ఒక ప్రయత్నం జరిగింది వినియోగదారులను రక్షించే నెపంతో విదేశీ సైట్‌లకు సురక్షితమైన ట్రాఫిక్‌పై ప్రభుత్వ నియంత్రణను ఏర్పాటు చేయడం. అనేక పెద్ద ప్రొవైడర్‌ల సబ్‌స్క్రైబర్‌లు వారి కంప్యూటర్‌లలో ప్రత్యేక రూట్ సర్టిఫికేట్‌ను ఇన్‌స్టాల్ చేయవలసిందిగా ఆదేశించబడ్డారు, ఇది ప్రొవైడర్‌లను నిశ్శబ్దంగా ఎన్‌క్రిప్టెడ్ ట్రాఫిక్‌ను అడ్డగించడానికి మరియు HTTPS కనెక్షన్‌లలోకి ప్రవేశించడానికి అనుమతిస్తుంది.

అదే సమయంలో ఉన్నాయి రికార్డ్ చేయబడింది Google, Facebook, Odnoklassniki, VKontakte, Twitter, YouTube మరియు ఇతర వనరులకు ట్రాఫిక్‌ను మోసగించడానికి ఈ ప్రమాణపత్రాన్ని ఆచరణలో ఉపయోగించడానికి ప్రయత్నిస్తుంది. TLS కనెక్షన్ స్థాపించబడినప్పుడు, లక్ష్యం సైట్ యొక్క నిజమైన సర్టిఫికేట్ ఫ్లైలో రూపొందించబడిన కొత్త సర్టిఫికేట్‌తో భర్తీ చేయబడింది, వినియోగదారు రూట్ సర్టిఫికేట్ స్టోర్‌కు “జాతీయ భద్రతా ప్రమాణపత్రం” జోడించబడితే అది బ్రౌజర్ విశ్వసనీయమైనదిగా గుర్తించబడుతుంది. , డమ్మీ సర్టిఫికేట్ "జాతీయ భద్రతా ప్రమాణపత్రం"కి విశ్వసనీయ శ్రేణి ద్వారా లింక్ చేయబడినందున. ఈ ప్రమాణపత్రాన్ని ఇన్‌స్టాల్ చేయకుండా, Tor లేదా VPN వంటి అదనపు సాధనాలను ఉపయోగించకుండా పేర్కొన్న సైట్‌లతో సురక్షిత కనెక్షన్‌ని ఏర్పాటు చేయడం సాధ్యం కాదు.

కజకిస్తాన్‌లో సురక్షిత కనెక్షన్‌లపై నిఘా పెట్టడానికి మొదటి ప్రయత్నాలు 2015లో జరిగాయి, కజఖ్ ప్రభుత్వం ప్రయత్నించారు నియంత్రిత ధృవీకరణ అధికారం యొక్క రూట్ సర్టిఫికేట్ మొజిల్లా రూట్ సర్టిఫికేట్ స్టోర్‌లో చేర్చబడిందని నిర్ధారించుకోండి. వినియోగదారులపై గూఢచర్యం చేయడానికి ఈ సర్టిఫికెట్‌ను ఉపయోగించాలనే ఉద్దేశాన్ని ఆడిట్ వెల్లడించింది మరియు అప్లికేషన్ తిరస్కరించబడింది. ఒక సంవత్సరం తరువాత కజాఖ్స్తాన్లో ఉన్నాయి
ఆమోదించబడిన "కమ్యూనికేషన్స్‌పై" చట్టానికి సవరణలు, వినియోగదారులు స్వయంగా సర్టిఫికేట్‌ను ఇన్‌స్టాల్ చేయడం అవసరం, కానీ ఆచరణలో, ఈ సర్టిఫికేట్ అమలు జూలై 2019 మధ్యలో మాత్రమే ప్రారంభమైంది.

రెండు వారాల క్రితం, "జాతీయ భద్రతా ప్రమాణపత్రం" పరిచయం ఇది రద్దు ఇది సాంకేతికతను మాత్రమే పరీక్షిస్తున్నట్లు వివరణ ఇచ్చింది. వినియోగదారులపై సర్టిఫికేట్‌లను విధించడాన్ని నిలిపివేయమని ప్రొవైడర్‌లకు సూచించబడింది, అయితే అమలు చేసిన రెండు వారాలలో, చాలా మంది కజఖ్ వినియోగదారులు ఇప్పటికే సర్టిఫికేట్‌ను ఇన్‌స్టాల్ చేసారు, కాబట్టి ట్రాఫిక్ అంతరాయానికి అవకాశం కనిపించలేదు. ప్రాజెక్ట్ నిలిపివేయడంతో, డేటా లీకేజీ ఫలితంగా "జాతీయ భద్రతా సర్టిఫికేట్"తో అనుబంధించబడిన ఎన్‌క్రిప్షన్ కీలు ఇతర చేతుల్లోకి వచ్చే ప్రమాదం కూడా పెరిగింది (ఉత్పత్తి చేసిన ప్రమాణపత్రం 2024 వరకు చెల్లుతుంది).

ఈ సర్టిఫికేట్‌ను రూపొందించిన అధికారం భద్రతా ఆడిట్‌కు గురికాలేదు, ధృవీకరణ కేంద్రాల అవసరాలతో ఏకీభవించలేదు మరియు ఏర్పాటు చేసిన నియమాలను అనుసరించాల్సిన అవసరం లేదు కాబట్టి, తిరస్కరించలేని విధించబడిన సర్టిఫికేట్ ధృవీకరణ కేంద్రాల ధృవీకరణ పథకాన్ని ఉల్లంఘిస్తుంది, అనగా. ఏదైనా సాకుతో ఏ యూజర్‌కైనా ఏదైనా సైట్ కోసం సర్టిఫికెట్‌ని జారీ చేయవచ్చు.
అటువంటి చర్య వినియోగదారు భద్రతను బలహీనపరుస్తుందని మరియు నాల్గవ సూత్రానికి విరుద్ధమని మొజిల్లా విశ్వసించింది మొజిల్లా మానిఫెస్టో, ఇది భద్రత మరియు గోప్యతను ప్రాథమిక అంశాలుగా పరిగణిస్తుంది.

మూలం: opennet.ru