В Firefox, Chrome и Safari заблокирован внедряемый в Казахстане "национальный сертификат"

Google, Mozilla и Apple объявили о помещении внедряемого в Казахстане «национального сертификата безопасности» в списки отозванных сертификатов. Использование данного корневого сертификата отныне будет приводить к выводу предупреждения о нарушении безопасности в Firefox, Chrome/Chromium и Safari, а также в основанных на их коде производных продуктах.

Напомним, что в июле в Казахстане была предпринята попытка установки государственного контроля за защищённым трафиком к зарубежным сайтам по предлогом защиты пользователей. Абонентам ряда крупных провайдеров было предписано установить на свои компьютеры специальный корневой сертификат, который позволил бы на уровне провайдеров незаметно перехватывать шифрованный трафик и вклиниваться в HTTPS-соединения.

В то же время были зафиксированы попытки применения данного сертификата на практике для подмена трафика к Google, Facebook, Одноклассники, Вконтакте, Twitter, YouTube и других ресурсов. При установке TLS-соединения реальный сертификат целевого сайта подменялся сгенерированным на лету новым сертификатом, который помечался браузером как достоверный, если «национальный сертификат безопасности» был добавлен пользователем в хранилище корневых сертификатов, так как подставной сертификат связан цепочкой доверия с «национальным сертификатом безопасности».

Первые попытки слежки за защищёнными соединениями в Казахстане были предприняты в 2015 году, когда правительство Казахстана попыталось добиться включения корневого сертификата подконтрольного удостоверяющего центра в хранилище корневых сертификатов Mozilla. В ходе аудита был выявлено намерение использовать данный сертификат для слежки за пользователями и заявка была отклонена. Год спустя в Казахстане были приняты поправки к закону «О связи», предписывающие установку сертификата пользователями, но на практике форсирование данного сертификата началось только в середине июля 2019 года.

Две недели назад внедрение «национального сертификата безопасности» было отменено с пояснением, что это было лишь тестирование технологии. Провайдерам дано указание прекратить навязывать сертификаты пользователям, но за две недели внедрения сертификат уже успели установить многие казахские пользователи, поэтому потенциальная возможность перехвата трафика не исчезла. Со сворачиванием проекта также возросла опасность попадания связанных с «национальным сертификатом безопасности» ключей шифрования в другие руки в результате утечки данных.

Навязанный сертификат, от которого невозможно отказаться, нарушает схему проверки удостоверяющих центров, так как сгенерировавший данный сертификат орган не проходил аудит безопасности и не соглашался с требованиями к удостоверяющим центрам. Контролирующий данный сертификат орган не обязан следовать установленным правилам и может выдать сертификат для любого сайта любому пользователю. Mozilla считает, что подобная деятельность подрывает безопасность пользователей и противоречит четвёртому принципу Манифеста Mozilla, который рассматривает безопасность и приватность как основополагающие факторы.

©  OpenNet