2016'dan beri Kazakistan'da yürürlükte olan mevzuata uygun olarak “İletişim” Kanununa göre birçok Kazak hizmet sağlayıcısı da dahil olmak üzere ,
, и , bugünden itibaren Başlangıçta kullanılan sertifikanın değiştirilmesiyle istemci HTTPS trafiğinin ele geçirilmesine yönelik sistemler. Başlangıçta dinleme sisteminin 2016 yılında hayata geçirilmesi planlanıyordu ancak bu operasyon sürekli ertelendi ve yasa resmi olarak algılanmaya başlandı. Müdahale yapılıyor Kullanıcıların güvenliğine ilişkin endişeler ve onları tehdit oluşturan içeriklerden koruma isteği.
Kullanıcılara yanlış sertifika kullanımıyla ilgili tarayıcılardaki uyarıları devre dışı bırakmak için sistemlerinize yükleyin "Korumalı trafiği yabancı sitelere yayınlarken kullanılır (örneğin, Facebook'ta trafik değişikliği zaten tespit edilmiştir).
TLS bağlantısı kurulduğunda, hedef sitenin gerçek sertifikası, kullanıcı tarafından kök sertifikaya "ulusal güvenlik sertifikası" eklenmişse, tarayıcı tarafından güvenilir olarak işaretlenecek, anında oluşturulan yeni bir sertifika ile değiştirilir. Çünkü sahte sertifika, “ulusal güvenlik sertifikası”na bir güven zinciriyle bağlı.
Aslında Kazakistan'da HTTPS protokolünün sağladığı koruma tamamen tehlikeye girmiştir ve trafiğin istihbarat teşkilatları tarafından izlenmesi ve değiştirilmesi olasılığı açısından tüm HTTPS istekleri HTTP'den pek farklı değildir. Böyle bir düzende, "ulusal güvenlik sertifikası" ile ilişkili şifreleme anahtarlarının bir sızıntı sonucu başka ellere geçmesi de dahil olmak üzere suiistimalleri kontrol etmek imkansızdır.
Tarayıcı geliştiricileri Mozilla'da olduğu gibi, müdahale için kullanılan kök sertifikayı sertifika iptal listesine (OneCRL) ekleyin DarkMatter sertifika yetkilisinden alınan sertifikalarla. Ancak böyle bir işlemin anlamı tam olarak açık değildir (geçmişteki tartışmalarda faydasız olduğu düşünülmüştü), çünkü "ulusal güvenlik sertifikası" söz konusu olduğunda bu sertifika başlangıçta güven zincirleri kapsamında değildir ve kullanıcı sertifikayı yüklemez. tarayıcılar zaten bir uyarı görüntüleyecektir. Öte yandan tarayıcı üreticilerinin yanıt vermemesi, benzer sistemlerin diğer ülkelerde de tanıtılmasını teşvik edebilir. Bir seçenek olarak, MITM saldırılarına yakalanan yerel olarak yüklenen sertifikalar için yeni bir göstergenin uygulanması da öneriliyor.
Kaynak: opennet.ru