, и оголосили про приміщення впроваджуваного в Казахстані «» у списки відкликаних сертифікатів. Використання цього кореневого сертифіката відтепер буде виводити попередження про порушення безпеки в Firefox, Chrome/Chromium і Safari, а також у похідних продуктах, що базуються на їх коді.
Нагадаємо, що у липні в Казахстані була встановлення державного контролю за захищеним трафіком до зарубіжних сайтів під приводом захисту користувачів. Абонентам ряду великих провайдерів було наказано встановити на свої комп'ютери спеціальний кореневий сертифікат, який дозволив би на рівні провайдерів непомітно перехоплювати шифрований трафік та вклинюватися в HTTPS-з'єднання.
Водночас були спроби застосування цього сертифіката на практиці для заміни трафіку до Google, Facebook, Однокласників, Вконтакт, Twitter, YouTube та інших ресурсів. При встановленні TLS-з'єднання реальний сертифікат цільового сайту підмінявся згенерованим на льоту новим сертифікатом, який позначався браузером як достовірний, якщо «національний сертифікат безпеки» був доданий користувачем у сховище кореневих сертифікатів, оскільки підставний сертифікат пов'язаний ланцюжком довіри. Без встановлення цього сертифіката встановити захищене з'єднання зі згаданими сайтами було неможливо без застосування додаткових засобів, таких як Tor або VPN.
Перші спроби стеження за захищеними з'єднаннями в Казахстані було здійснено в 2015 році, коли уряд Казахстану домогтися включення кореневого сертифіката підконтрольного центру, що посвідчує, у сховище кореневих сертифікатів Mozilla. В ході аудиту було виявлено намір використовувати цей сертифікат для стеження за користувачами та заявку було відхилено. Через рік у Казахстані були
поправки до закону «Про зв'язок», які наказують встановлення сертифіката самими користувачами, але на практиці форсування цього сертифіката розпочалося лише в середині липня 2019 року.
Два тижні тому запровадження «національного сертифікату безпеки» з поясненням, що це лише тестування технології. Провайдерам дано вказівку припинити нав'язувати сертифікати користувачам, але за два тижні впровадження сертифікат вже встигли встановити багато казахських користувачів, тому потенційна можливість перехоплення трафіку не зникла. Зі згортанням проекту також зросла небезпека попадання пов'язаних із «національним сертифікатом безпеки» ключів шифрування в інші руки в результаті витоку даних (згенерований сертифікат діє до 2024 року).
Нав'язаний сертифікат, від якого неможливо відмовитися, порушує схему перевірки засвідчувальних центрів, оскільки орган, що згенерував даний сертифікат, не проходив аудит безпеки, не погоджувався з вимогами до центрів, що засвідчують, і не зобов'язаний слідувати встановленим правилам, тобто. може видати сертифікат для будь-якого сайту будь-якому користувачеві під будь-яким приводом.
Mozilla вважає, що подібна діяльність підриває безпеку користувачів та суперечить четвертому принципу , який розглядає безпеку та приватність як основоположні фактори.
Джерело: opennet.ru