Начиная с 1 января 2016 года, правительство Казахстана собирается прослушивать весь пользовательский трафик, включая зашифрованные HTTPS-соединения. Для этого были внесены соответствующие поправки в закон «О связи». Для реализации глобальной прослушки будет выпущен специальный корневой сертификат, который создаст Комитет связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан.
Новость о внедрении «национального сертификата безопасности» была опубликована на сайте АО «Казахтелеком», однако позже загадочным образом оттуда исчезла. Но кэш Google все помнит.
Как можно заметить, технических подробностей пока мало, но в целом схема работы «национального сертификата безопасности» ясна. Пользователей обяжут загрузить и установить на все устройства правительственный сертификат, через который будет проходить весь защищенный трафик зарубежных веб-сайтов. Можно предположить, что дешифровке подвергнется не только весь HTTPS-трафик, но и прочие TLS-соединения.
Фактически, это означает, что во время установки SSL-соединения настоящий сертификат сайта будет подменяться фальшивкой, сгенерированной на лету. Такой подставной сертификат будет завязан на «национальный сертификат безопасности», который всех пользователя страны заставят добавить в список доверенных корневых сертификатов. В результате браузер сочтет фальшивку доверенной.
Без установки корневого сертификата браузеры будут пугать пользователей предупреждениями о том, что сертификат недействителен. Чтобы не возникло паники, «Казахтелеком» обещает провести разъяснительную работу с пользователями в декабре 2015 года и опубликовать соответствующие инструкции и пояснения на официальном сайте.
Если все пройдет именно так, как запланировано, начиная с января 2016 года, власти страны действительно получат полный доступ к трафику пользователей, и наступит эра «Великого казахского файрвола». Однако ни одно защищенное соединение в стране после этого не сможет считаться по-настоящему защищенным. Соединение с банком или платежной системой, сессия с iCloud или Dropbox, всё будет как на ладони.
Похожие схемы использует правительство Китая и «Великий китайский файрвол» он же «Золотой щит». Так, в апреле текущего года Google забанила в удостоверяющем центре Chrome китайский корневой сертификат, созданный с аналогичной целью. Реакции от других компаний на действия Поднебесной, впрочем, не последовало.
Комментарии (16)
LazyCat
LazyCat
Но пока есть зарубежные прокси, и они меняют адреса, можно использовать других посредников, если внешний интернет не блокируют. А если кто-то заблокирует, то их люди будут развиваться медленнее, а значит, их зохватют, ранаелепозна.
jagg
LazyCat
«Любой посредник (MitM), по-моему, может сделать с трафиком все, что хочет (в том числе, прочитать и, даже, подменить), кроме » MitM — Man in the Middle, посредник. Если у провайдеров будет выбор, то они выберут не вмешиваться, ибо это конкурентный плюс. А если у провайдеров страны выбора не будет, то «их люди будут развиваться медленнее, а значит, их зохватют, ранаелепозна.»
jagg
Но если ограничить совсем, то люди будут развиваться в отрыве от мировой культуры (пусть и не всегда приемлемой), а значит отстанут.
jagg
Mefistofile
LazyCat
Mefistofile
LazyCat
Mefistofile
LazyCat
Mefistofile
LazyCat
Mefistofile
Граждане казахи. Советую Вам ходить в инет через анонимный прокси в Германии, например.
jagg
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.