Відповідно до чинних у Казахстані з 2016 року до закону «Про зв'язок», багато казахських провайдерів, включаючи ,
, и , з сьогоднішнього дня системи перехоплення HTTPS-трафіку клієнтів з заміною сертифіката, що спочатку використовується. Спочатку систему перехоплення планувалося впровадити у 2016 році, але ця операція постійно відкладалася і закон уже став сприйматися як формальний. Перехоплення здійснюється турботи про безпеку користувачів і бажання захистити їх від контенту, що надає загрозу.
Для відключення виведення у браузерах попередження про застосування некоректного сертифіката користувачам встановити на свої системи«, який застосовується під час трансляції захищеного трафіку до зарубіжних сайтів (наприклад, вже фіксується підміна трафіку до Facebook).
При встановленні TLS-з'єднання реальний сертифікат цільового сайту підміняється згенерованим на льоту новим сертифікатом, який буде позначений браузером як достовірний, якщо «національний сертифікат безпеки» був доданий користувачем до сховища кореневих сертифікатів, оскільки підставний сертифікат пов'язаний ланцюжком довіри з « .
По суті в Казахстані повністю скомпрометований захист, що надається протоколом HTTPS, і всі HTTPS запити з позиції можливості відстеження та заміни трафіку спецслужбами мало чим відрізняються від HTTP. Проконтролювати зловживання в такій схемі неможливо, у тому числі при попаданні пов'язаних із «національним сертифікатом безпеки» ключів шифрування в інші руки в результаті витоку.
Розробники браузерів додати застосовуваний для перехоплення кореневий сертифікат до списку відкликаних сертифікатів (OneCRL), як нещодавно Mozilla із сертифікатами засвідчувального центру DarkMatter. Але зміст такої операції не зовсім зрозумілий (у минулих обговореннях його вважали марним), тому що у випадку з «національним сертифікатом безпеки» цей сертифікат спочатку не охоплений ланцюжками довіри і без встановлення сертифіката користувачем браузери і так виводять попередження. З іншого боку, відсутність реакції з боку виробників браузерів може стимулювати використання таких систем в інших країнах. Як варіант пропонується також реалізувати новий індикатор для локально встановлених сертифікатів, викритих у MITM-атаках.
Джерело: opennet.ru