Qozog'istonda 2016 yildan beri amalda bo'lganlarga muvofiq "Aloqa to'g'risida"gi qonunga, ko'plab Qozog'iston provayderlari, shu jumladan ,
, и , bugundan boshlab dastlab ishlatilgan sertifikatni almashtirish bilan mijozning HTTPS trafigini ushlab turish tizimlari. Dastlab, ushlash tizimini 2016 yilda amalga oshirish rejalashtirilgan edi, ammo bu operatsiya doimiy ravishda kechiktirildi va qonun rasmiy ravishda qabul qilina boshladi. Tugatish amalga oshiriladi foydalanuvchilarning xavfsizligi haqidagi xavotirlar va ularni xavf tug'diradigan kontentdan himoya qilish istagi.
Brauzerlarda foydalanuvchilarga noto'g'ri sertifikatdan foydalanish haqida ogohlantirishlarni o'chirish uchun tizimlaringizga o'rnatish "", bu chet el saytlariga himoyalangan trafikni translyatsiya qilishda ishlatiladi (masalan, Facebook-ga trafikni almashtirish allaqachon aniqlangan).
TLS ulanishi o'rnatilganda, maqsadli saytning haqiqiy sertifikati tezda yaratilgan yangi sertifikat bilan almashtiriladi, agar foydalanuvchi ildiz sertifikatiga "milliy xavfsizlik sertifikati" qo'shgan bo'lsa, brauzer tomonidan ishonchli deb belgilanadi. do'kon, chunki soxta sertifikat "milliy xavfsizlik sertifikati" bilan ishonch zanjiri bilan bog'langan.
Aslida, Qozog'istonda HTTPS protokoli tomonidan taqdim etilgan himoya butunlay buzilgan va barcha HTTPS so'rovlari razvedka idoralari tomonidan trafikni kuzatish va almashtirish imkoniyati nuqtai nazaridan HTTP-dan unchalik farq qilmaydi. Bunday sxemada suiiste'mollarni nazorat qilish mumkin emas, shu jumladan "milliy xavfsizlik sertifikati" bilan bog'liq shifrlash kalitlari sizib chiqish natijasida boshqa qo'llarga tushib qolsa.
Brauzer ishlab chiquvchilari Yaqinda Mozilla kabi sertifikatni bekor qilish ro'yxatiga (OneCRL) to'xtatib turish uchun ishlatiladigan ildiz sertifikatini qo'shing DarkMatter sertifikatlash organining sertifikatlari bilan. Ammo bunday operatsiyaning ma'nosi to'liq aniq emas (oldingi muhokamalarda u foydasiz deb hisoblangan), chunki "milliy xavfsizlik sertifikati" holatida ushbu sertifikat dastlab ishonch zanjirlari bilan qoplanmaydi va foydalanuvchi sertifikatni o'rnatmasdan, brauzerlar allaqachon ogohlantirishni ko'rsatadi. Boshqa tomondan, brauzer ishlab chiqaruvchilarining javobi yo'qligi boshqa mamlakatlarda ham shunga o'xshash tizimlarni joriy etishni rag'batlantirishi mumkin. Variant sifatida, shuningdek, MITM hujumlarida ushlangan mahalliy o'rnatilgan sertifikatlar uchun yangi ko'rsatkichni joriy etish taklif etiladi.
Manba: opennet.ru