- 203
- 167
- 15 Июл 2018
В соответствии с действующими в Казахстане с 2016 года поправками к закону «О связи», многие казахские провайдеры, включая Kcell, Beeline, Tele2 и Altel, с сегодняшнего дня ввели в стройсистемы перехвата HTTPS-трафика клиентов с подменой изначально используемого сертификата. Изначально систему перехвата планировалось внедрить в 2016 году, но это операция постоянно откладывалась и закон уже стал восприниматься как формальный. Перехват осуществляется под видомзаботы о безопасности пользователей и желания оградить их от предоставляющего угрозу контента.
Для отключения вывода в браузерах предупреждения о применении некорректного сертификата пользователям предписано установить на свои системы "национальный сертификат безопасности", который применяется при трансляции защищенного трафика к зарубежным сайтам (например, уже фиксируется подмена трафика к Facebook).
При установке TLS-соединения реальный сертификат целевого сайта подменяется сгенерированным на лету новым сертификатом, который будет помечен браузером как достоверный, если "национальный сертификат безопасности" был добавлен пользователем в хранилище корневых сертификатов, так как подставной сертификат связан цепочкой доверия с "национальным сертификатом безопасности".
По сути в Казахстане полностью скомпрометирована предоставляемая протоколом HTTPS защита и все HTTPS запросы с позиции возможности отслеживания и подмены трафика спецслужбами мало чем отличаются от HTTP. Проконтролировать злоупотребления в такой схеме невозможно, в том числе при попадании связанных с "национальный сертификат безопасности" ключей шифрования в другие руки в результате утечки.
Разработчики браузеров рассматриваютпредложение добавить применяемый для перехвата корневой сертификат в список отозванных сертификатов (OneCRL), как недавно Mozilla поступила с сертификатами удостоверяющего центра DarkMatter. Но смысл такой операции не совсем ясен (в прошлых обсуждениях его посчитали бесполезным), так как в случае с "национальным сертификатом безопасности" этот сертификат изначально не охвачен цепочками доверия и без установки сертификата пользователем браузеры и так выводят предупреждение. С другой стороны, отсутствие реакции со стороны производителей браузеров может стимулировать внедрение подобных систем в других странах. В качестве варианта предлагается также реализовать новый индикатор для локально установленных сертификатов, уличённых в MITM-атаках.
Для отключения вывода в браузерах предупреждения о применении некорректного сертификата пользователям предписано установить на свои системы "национальный сертификат безопасности", который применяется при трансляции защищенного трафика к зарубежным сайтам (например, уже фиксируется подмена трафика к Facebook).
При установке TLS-соединения реальный сертификат целевого сайта подменяется сгенерированным на лету новым сертификатом, который будет помечен браузером как достоверный, если "национальный сертификат безопасности" был добавлен пользователем в хранилище корневых сертификатов, так как подставной сертификат связан цепочкой доверия с "национальным сертификатом безопасности".
По сути в Казахстане полностью скомпрометирована предоставляемая протоколом HTTPS защита и все HTTPS запросы с позиции возможности отслеживания и подмены трафика спецслужбами мало чем отличаются от HTTP. Проконтролировать злоупотребления в такой схеме невозможно, в том числе при попадании связанных с "национальный сертификат безопасности" ключей шифрования в другие руки в результате утечки.
Разработчики браузеров рассматриваютпредложение добавить применяемый для перехвата корневой сертификат в список отозванных сертификатов (OneCRL), как недавно Mozilla поступила с сертификатами удостоверяющего центра DarkMatter. Но смысл такой операции не совсем ясен (в прошлых обсуждениях его посчитали бесполезным), так как в случае с "национальным сертификатом безопасности" этот сертификат изначально не охвачен цепочками доверия и без установки сертификата пользователем браузеры и так выводят предупреждение. С другой стороны, отсутствие реакции со стороны производителей браузеров может стимулировать внедрение подобных систем в других странах. В качестве варианта предлагается также реализовать новый индикатор для локально установленных сертификатов, уличённых в MITM-атаках.
- Источник новости
- https://www.opennet.ru/
