Компания Mozilla объявила о добавлении в списки отозванных сертификатов корневого сертификата, использованного в декабрьских учениях по перехвату HTTPS-трафика в Казахстане. Аналогичные действия предприняли компании Google, Apple и Microsoft, которые также добавили казахский MITM-сертификат в свои списки отозванных сертификатов.
Использование нового корневого сертификата, внедряемого для перехвата трафика в Казахстане, теперь будет приводить к выводу предупреждения о нарушении безопасности в Firefox, Chrome/Chromium, Edge и Safari, а также в производных продуктах. Аналогичная блокировка сертификата была предпринята в прошлом году, после попытки навязывания в Казахстане "национального сертификата безопасности".
Напомним, что в начале декабря в рамках учений "Кибербезопасность Нур-Султан 2020" клиенты нескольких крупных казахских провайдеров в городе Нур-Султан, включая Beeline, Tele2 и Kcell, получили уведомление о необходимости установки на свои системы дополнительного сертификата для продолжения доступа к некоторым иностранным сайтам. При перехвате в момент установки TLS-соединения реальный сертификат целевого сайта подменялся сгенерированным на лету новым сертификатом, заверенный корневым сертификатом, который пользователям предписано установить на свои системы.
Навязываемый корневой сертификат подрывает безопасность пользователей и противоречит четвёртому принципу Манифеста Mozilla, который рассматривает безопасность и приватность как основополагающие факторы. Реализованная в Казахстане схема перехвата нарушает схему проверки удостоверяющих центров, так как сгенерировавший данный сертификат орган не проходил аудит безопасности, не соглашался с требованиями к удостоверяющим центрам и не обязан следовать установленным правилам, т.е. может сформировать сертификат для любого сайта под любым предлогом и полностью контролировать трафик.
Mozilla рекомендует пользователям в Казахстане, которые не смогут получить доступ к сайтам из-за блокировки казахского корневого сертификата, перейти на использование VPN или установить Tor Browser для обхода ограничений. Тем, кто уже установил на свои системы навязываемый сертификат, рекомендовано как можно скорее удалить его из хранилища сертификатов и поменять все свои пароли.
Источник статьи: https://www.opennet.ru/opennews/art.shtml?num=54284
Использование нового корневого сертификата, внедряемого для перехвата трафика в Казахстане, теперь будет приводить к выводу предупреждения о нарушении безопасности в Firefox, Chrome/Chromium, Edge и Safari, а также в производных продуктах. Аналогичная блокировка сертификата была предпринята в прошлом году, после попытки навязывания в Казахстане "национального сертификата безопасности".
Напомним, что в начале декабря в рамках учений "Кибербезопасность Нур-Султан 2020" клиенты нескольких крупных казахских провайдеров в городе Нур-Султан, включая Beeline, Tele2 и Kcell, получили уведомление о необходимости установки на свои системы дополнительного сертификата для продолжения доступа к некоторым иностранным сайтам. При перехвате в момент установки TLS-соединения реальный сертификат целевого сайта подменялся сгенерированным на лету новым сертификатом, заверенный корневым сертификатом, который пользователям предписано установить на свои системы.
Навязываемый корневой сертификат подрывает безопасность пользователей и противоречит четвёртому принципу Манифеста Mozilla, который рассматривает безопасность и приватность как основополагающие факторы. Реализованная в Казахстане схема перехвата нарушает схему проверки удостоверяющих центров, так как сгенерировавший данный сертификат орган не проходил аудит безопасности, не соглашался с требованиями к удостоверяющим центрам и не обязан следовать установленным правилам, т.е. может сформировать сертификат для любого сайта под любым предлогом и полностью контролировать трафик.
Mozilla рекомендует пользователям в Казахстане, которые не смогут получить доступ к сайтам из-за блокировки казахского корневого сертификата, перейти на использование VPN или установить Tor Browser для обхода ограничений. Тем, кто уже установил на свои системы навязываемый сертификат, рекомендовано как можно скорее удалить его из хранилища сертификатов и поменять все свои пароли.
Источник статьи: https://www.opennet.ru/opennews/art.shtml?num=54284