, и yerleştirileceğini duyurdu.» sertifika iptal listelerine gidin. Bu kök sertifikanın kullanılması artık Firefox, Chrome/Chromium ve Safari'de ve bunların kodlarına dayalı türev ürünlerde bir güvenlik uyarısıyla sonuçlanacaktır.
Temmuz ayında Kazakistan'da olduğunu hatırlayalım. Kullanıcıları koruma bahanesi altında yabancı sitelere yönelik güvenli trafik üzerinde devlet kontrolü kurulması. Çok sayıda büyük sağlayıcının abonelerine, bilgisayarlarına özel bir kök sertifika yüklemeleri emredildi; bu, sağlayıcıların şifrelenmiş trafiğe sessizce müdahale etmesine ve HTTPS bağlantılarına sızmasına olanak tanıyacak.
Aynı zamanda vardı Google, Facebook, Odnoklassniki, VKontakte, Twitter, YouTube ve diğer kaynaklara yönelik trafiği taklit etmek için bu sertifikayı pratikte kullanmaya çalışır. TLS bağlantısı kurulduğunda, hedef sitenin gerçek sertifikası, kullanıcı tarafından kök sertifika deposuna "ulusal güvenlik sertifikası" eklenmişse, tarayıcı tarafından güvenilir olarak işaretlenen, anında oluşturulan yeni bir sertifika ile değiştirildi. Çünkü sahte sertifika bir güven zinciriyle “ulusal güvenlik sertifikasına” bağlıydı. Bu sertifikayı yüklemeden Tor ya da VPN gibi ek araçlar kullanmadan bahsi geçen sitelerle güvenli bağlantı kurmak mümkün olmuyordu.
Kazakistan'daki güvenli bağlantılara yönelik ilk casusluk girişimleri 2015 yılında, Kazak hükümetinin Kontrollü sertifika yetkilisinin kök sertifikasının Mozilla kök sertifika deposuna dahil edildiğinden emin olun. Denetim, bu sertifikayı kullanıcılar hakkında casusluk yapmak için kullanma niyetini ortaya çıkardı ve başvuru reddedildi. Bir yıl sonra Kazakistan'da
Sertifikanın kullanıcıların kendileri tarafından kurulmasını gerektiren “İletişim Kanunu”nda yapılan değişiklikler, ancak pratikte bu sertifikanın yürürlüğe girmesi ancak Temmuz 2019'un ortasında başladı.
İki hafta önce “ulusal güvenlik sertifikası” uygulamaya konuldu bunun yalnızca teknolojiyi test ettiği açıklamasıyla. Sağlayıcılara kullanıcılara sertifika dayatmayı bırakmaları talimatı verildi, ancak uygulamadan sonraki iki hafta içinde birçok Kazak kullanıcı zaten sertifikayı yüklemişti, dolayısıyla trafiğe müdahale potansiyeli ortadan kalkmadı. Projenin sona ermesiyle birlikte, veri sızıntısı sonucu “ulusal güvenlik sertifikası”na ilişkin şifreleme anahtarlarının ellerin eline geçmesi tehlikesi de arttı (oluşturulan sertifika 2024 yılına kadar geçerlidir).
Reddedilemeyen empoze edilen bir sertifika, bu sertifikayı oluşturan otorite bir güvenlik denetiminden geçmediğinden, sertifika merkezlerinin gerekliliklerini kabul etmediğinden ve belirlenen kurallara uymak zorunda olmadığından, sertifika merkezleri için doğrulama planını ihlal eder; herhangi bir site için herhangi bir kullanıcıya herhangi bir bahane altında sertifika verebilir.
Mozilla, bu tür etkinliklerin kullanıcı güvenliğine zarar verdiğine ve dördüncü prensibe aykırı olduğuna inanıyor Güvenliği ve gizliliği temel faktörler olarak gören.
Kaynak: opennet.ru