В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика

18 июля 2019 года

В соответствии с действующими в Казахстане с 2016 года поправками к закону «О связи», многие казахские провайдеры, включая Kcell (Архивная копия от 25 июля 2019 на Wayback Machine), Beeline (Архивная копия от 6 декабря 2019 на Wayback Machine), Tele2 и Altel (Архивная копия от 26 октября 2020 на Wayback Machine), с сегодняшнего дня ввели в строй системы перехвата HTTPS-трафика клиентов с подменой изначально используемого сертификата. Изначально систему перехвата планировалось внедрить в 2016 году, но это операция постоянно откладывалась и закон уже стал восприниматься как формальный. Перехват осуществляется под видом (Архивная копия от 26 октября 2020 на Wayback Machine) заботы о безопасности пользователей и желания оградить их от предоставляющего угрозу контента.

Для отключения вывода в браузерах предупреждения о применении некорректного сертификата пользователям предписано (Архивная копия от 26 октября 2020 на Wayback Machine) установить на свои системы "национальный сертификат безопасности (Архивная копия от 19 июля 2019 на Wayback Machine)", который применяется при трансляции защищенного трафика к зарубежным сайтам (например, уже фиксируется подмена трафика к Facebook).

При установке TLS-соединения реальный сертификат целевого сайта подменяется сгенерированным на лету новым сертификатом, который будет помечен браузером как достоверный, если "национальный сертификат безопасности" был добавлен пользователем в хранилище корневых сертификатов, так как подставной сертификат связан цепочкой доверия с "национальным сертификатом безопасности".

По сути в Казахстане полностью скомпрометирована предоставляемая протоколом HTTPS защита и все HTTPS запросы с позиции возможности отслеживания и подмены трафика спецслужбами мало чем отличаются от HTTP. Проконтролировать злоупотребления в такой схеме невозможно, в том числе при попадании связанных с "национальным сертификатом безопасности" ключей шифрования в другие руки в результате утечки.

Разработчики браузеров рассматривают предложение добавить применяемый для перехвата корневой сертификат в список отозванных сертификатов (OneCRL), как недавно Mozilla поступила с сертификатами удостоверяющего центра DarkMatter. Но смысл такой операции не совсем ясен (в прошлых обсуждениях его посчитали бесполезным), так как в случае с "национальным сертификатом безопасности" этот сертификат изначально не охвачен цепочками доверия и без установки сертификата пользователем браузеры и так выводят предупреждение. С другой стороны, отсутствие реакции со стороны производителей браузеров может стимулировать внедрение подобных систем в других странах. В качестве варианта предлагается также реализовать новый индикатор для локально установленных сертификатов, уличённых в MITM-атаках.