, и 宣布安置“» 到证书吊销列表。 现在,使用此根证书将导致 Firefox、Chrome/Chromium 和 Safari 以及基于其代码的衍生产品出现安全警告。
让我们回顾一下,哈萨克斯坦 XNUMX 月发生了 政府以保护用户为借口对外国网站的安全流量进行控制。 许多大型提供商的订阅者被要求在其计算机上安装特殊的根证书,这将允许提供商悄悄拦截加密流量并插入 HTTPS 连接。
同时还有 尝试在实践中使用此证书来欺骗 Google、Facebook、Odnoklassniki、VKontakte、Twitter、YouTube 和其他资源的流量。 当建立 TLS 连接时,目标站点的真实证书将被动态生成的新证书替换,如果用户将“国家安全证书”添加到根证书存储中,则浏览器会将其标记为可信,因为虚拟证书通过信任链链接到“国家安全证书”。 如果不安装此证书,则无法在不使用 Tor 或 VPN 等其他工具的情况下与上述站点建立安全连接。
首次尝试监视哈萨克斯坦的安全连接是在 2015 年,当时哈萨克斯坦政府 确保受控证书颁发机构的根证书包含在 Mozilla 根证书存储中。 审计发现其意图使用该证书来监视用户,因此该申请被拒绝。 一年后,哈萨克斯坦出现了
《通信法》修正案要求用户自行安装证书,但实际上,该证书于 2019 年 XNUMX 月中旬才开始强制执行。
两周前,出台“国家安全证书” 并解释说这只是测试技术。 提供商被指示停止向用户强加证书,但在实施两周内,许多哈萨克用户已经安装了证书,因此流量拦截的可能性并没有消失。 随着项目的结束,“国家安全证书”相关的加密密钥因数据泄露而落入他人手中的风险也随之增加(生成的证书有效期至2024年)。
强加的不可拒绝的证书违反了认证中心的验证方案,因为生成该证书的机构没有经过安全审核,不同意认证中心的要求,也没有义务遵守既定规则,即: 可以以任何借口向任何用户颁发任何站点的证书。
Mozilla 认为此类活动损害了用户安全,并且违反了第四项原则 ,它将安全和隐私视为基本因素。
来源: opennet.ru