根据哈萨克斯坦自 2016 年起生效的规定 根据《通信法》,许多哈萨克斯坦提供商,包括 ,
, и , 从今天开始 用于拦截客户端 HTTPS 流量并替换最初使用的证书的系统。 最初,拦截系统计划于 2016 年实施,但这一行动不断推迟,法律开始被认为是正式的。 拦截已进行 对用户安全的担忧以及保护他们免受威胁内容侵害的愿望。
禁用浏览器中向用户发出有关使用不正确证书的警告 安装在您的系统上““,在向外国网站广播受保护的流量时使用(例如,已经检测到 Facebook 的流量替代)。
当建立TLS连接时,目标站点的真实证书将被动态生成的新证书替换,如果用户将“国家安全证书”添加到根证书中,则该新证书将被浏览器标记为可信存储,因为虚拟证书通过信任链与“国家安全证书”链接在一起。
事实上,在哈萨克斯坦,HTTPS协议提供的保护完全受到损害,从情报机构跟踪和替换流量的可能性来看,所有HTTPS请求与HTTP没有太大区别。 在这种方案中不可能控制滥用行为,包括与“国家安全证书”相关的加密密钥因泄露而落入他人手中。
浏览器开发者 将用于拦截的根证书添加到证书吊销列表(OneCRL)中,就像最近 Mozilla 一样 拥有 DarkMatter 认证机构颁发的证书。 但这种操作的含义并不完全清楚(在过去的讨论中,它被认为是无用的),因为在“国家安全证书”的情况下,该证书最初并未被信任链覆盖,并且用户无需安装该证书,浏览器已经显示警告。 另一方面,浏览器制造商缺乏回应可能会鼓励其他国家引入类似的系统。 作为一种选择,还建议为遭受 MITM 攻击的本地安装的证书实施一个新指标。
来源: opennet.ru