根據哈薩克自 2016 年起生效的規定 根據《通訊法》,許多哈薩克斯坦提供者,包括 ,
, и , 從今天開始 用於攔截客戶端 HTTPS 流量並替換最初使用的憑證的系統。最初,攔截系統計劃於 2016 年實施,但這項行動不斷推遲,法律開始被認為是正式的。攔截已進行 對用戶安全的擔憂以及保護他們免受威脅內容侵害的願望。
停用瀏覽器中向使用者發出有關使用不正確憑證的警告 安裝在您的系統上“「,在向外國網站廣播受保護的流量時使用(例如,已偵測到 Facebook 的流量替代)。
當建立TLS連線時,目標網站的真實憑證將被動態產生的新憑證替換,如果使用者將「國家安全憑證」新增至根憑證中,則該新憑證將被瀏覽器標記為可信任存儲,因為虛擬證書透過信任鏈與「國家安全證書」連結在一起。
事實上,在哈薩克斯坦,HTTPS協定提供的保護完全受到損害,從情報機構追蹤和替換流量的可能性來看,所有HTTPS請求與HTTP沒有太大區別。在這種方案中不可能控制濫用行為,包括與「國家安全證書」相關的加密金鑰因洩漏而落入他人手中。
瀏覽器開發者 將用於攔截的根憑證新增至憑證撤銷清單(OneCRL)中,就像最近 Mozilla 一樣 擁有 DarkMatter 認證機構頒發的證書。但這種操作的含義並不完全清楚(在過去的討論中,它被認為是無用的),因為在“國家安全證書”的情況下,該證書最初並未被信任鏈覆蓋,並且用戶無需安裝該證書,瀏覽器已經顯示警告。另一方面,瀏覽器製造商缺乏回應可能會鼓勵其他國家引入類似的系統。作為一種選擇,也建議為遭受 MITM 攻擊的本地安裝的憑證實施一個新指標。
來源: opennet.ru