В Firefox, Chrome и Safari заблокирован внедряемый в Казахстане «национальный сертификат»

21 августа 2019 года

Google, Mozilla и Apple объявили о помещении внедряемого в Казахстане "национального сертификата безопасности (Архивная копия от 19 июля 2019 на Wayback Machine)" в списки отозванных сертификатов. Использование данного корневого сертификата отныне будет приводить к выводу предупреждения о нарушении безопасности в Firefox, Chrome/Chromium и Safari, а также в основанных на их коде производных продуктах.

Напомним, что в июле в Казахстане была предпринята попытка установки государственного контроля за защищённым трафиком к зарубежным сайтам под предлогом защиты пользователей. Абонентам ряда крупных провайдеров было предписано установить на свои компьютеры специальный корневой сертификат, который позволил бы на уровне провайдеров незаметно перехватывать шифрованный трафик и вклиниваться в HTTPS-соединения.

В то же время были зафиксированы попытки применения данного сертификата на практике для подмены трафика к Google, Facebook, Одноклассники, Вконтакте, Twitter, YouTube и других ресурсов. При установке TLS-соединения реальный сертификат целевого сайта подменялся сгенерированным на лету новым сертификатом, который помечался браузером как достоверный, если "национальный сертификат безопасности" был добавлен пользователем в хранилище корневых сертификатов, так как подставной сертификат связан цепочкой доверия с "национальным сертификатом безопасности". Без установки данного сертификата установить защищённое соединение с упомянутыми сайтами не представлялось возможным без применения дополнительных средств, таких как Tor или VPN.

Первые попытки слежки за защищёнными соединениями в Казахстане были предприняты в 2015 году, когда правительство Казахстана попыталось добиться включения корневого сертификата подконтрольного удостоверяющего центра в хранилище корневых сертификатов Mozilla. В ходе аудита был выявлено намерение использовать данный сертификат для слежки за пользователями и заявка была отклонена. Год спустя в Казахстане были приняты поправки к закону «О связи», предписывающие установку сертификата самими пользователями, но на практике форсирование данного сертификата началось только в середине июля 2019 года.

Две недели назад внедрение "национального сертификата безопасности" было (Архивная копия от 8 ноября 2020 на Wayback Machine) отменено с пояснением, что это было лишь тестирование технологии. Провайдерам дано указание прекратить навязывать сертификаты пользователям, но за две недели внедрения сертификат уже успели установить многие казахские пользователи, поэтому потенциальная возможность перехвата трафика не исчезла. Со сворачиванием проекта также возросла опасность попадания связанных с "национальным сертификатом безопасности" ключей шифрования в другие руки в результате утечки данных (сгенерированный сертификат действует до 2024 года).

Навязанный сертификат, от которого невозможно отказаться, нарушает схему проверки удостоверяющих центров, так как сгенерировавший данный сертификат орган не проходил аудит безопасности, не соглашался с требованиями к удостоверяющим центрам и не обязан следовать установленным правилам, т.е. может выдать сертификат для любого сайта любому пользователю под любым предлогом. Mozilla считает, что подобная деятельность подрывает безопасность пользователей и противоречит четвёртому принципу Манифеста Mozilla, который рассматривает безопасность и приватность как основополагающие факторы.