В Firefox, Chrome, Edge и Safari заблокирован сертификат, используемый для перехвата трафика в Казахстане
19 декабря 2020 года
Компания Mozilla объявила о добавлении в списки отозванных сертификатов корневого сертификата, использованного в декабрьских учениях по перехвату HTTPS-трафика в Казахстане. Аналогичные действия предприняли компании Google, Apple и Microsoft, которые также добавили казахский MITM-сертификат в свои списки отозванных сертификатов.
Использование нового корневого сертификата, внедряемого для перехвата трафика в Казахстане, теперь будет приводить к выводу предупреждения о нарушении безопасности в Firefox, Chrome/Chromium, Edge и Safari, а также в производных продуктах. Аналогичная блокировка сертификата была предпринята в прошлом году, после попытки навязывания в Казахстане "национального сертификата безопасности".
Напомним, что в начале декабря в рамках учений "Кибербезопасность Нур-Султан 2020" клиенты нескольких крупных казахских провайдеров в городе Нур-Султан, включая Beeline, Tele2 и Kcell, получили уведомление о необходимости установки на свои системы дополнительного сертификата для продолжения доступа к некоторым иностранным сайтам. При перехвате в момент установки TLS-соединения реальный сертификат целевого сайта подменялся сгенерированным на лету новым сертификатом, заверенный корневым сертификатом, который пользователям предписано установить на свои системы.
Навязываемый корневой сертификат подрывает безопасность пользователей и противоречит четвёртому принципу Манифеста Mozilla, который рассматривает безопасность и приватность как основополагающие факторы. Реализованная в Казахстане схема перехвата нарушает схему проверки удостоверяющих центров, так как сгенерировавший данный сертификат орган не проходил аудит безопасности, не соглашался с требованиями к удостоверяющим центрам и не обязан следовать установленным правилам, т.е. может сформировать сертификат для любого сайта под любым предлогом и полностью контролировать трафик.
Mozilla рекомендует пользователям в Казахстане, которые не смогут получить доступ к сайтам из-за блокировки казахского корневого сертификата, перейти на использование VPN или установить Tor Browser для обхода ограничений. Тем кто уже установил на свои системы навязываемый сертификат рекомендовано как можно скорее удалить его из хранилища сертификатов и поменять все свои пароли.
Источники править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
