Казахстан «ломает» HTTPS

Логотип компании
19.07.2019Автор
Казахстан «ломает» HTTPS
Правительство Казахстана обязывает всех жителей с помощью местных операторов установить на все устройства государственный "доверенный сертификат" Qaznet. В противном случае у абонентов начнутся проблемы с доступом в интернет.

Со среды 17 июля 2019 года правительство Казахстана начало перехватывать весь интернет-трафик HTTPS на своей территории. Местным провайдерам было поручено поспособствовать установлению «доверенного сертификата» на каждое устройство пользователя, которое имеет доступ к интернету.

После установки оного органы власти смогут расшифровывать HTTPS-трафик пользователей, просматривать его содержимое, снова шифровать его с помощью своего сертификата и отправлять по назначению. В сети уже начали активно обсуждать возможность подмены данных и грядущие проблемы.

Абоненты поделились скриншотами двух способов, которыми их склоняют к установке сертификатов:

Казахстан «ломает» HTTPS. Рис. 1

Блокирование доступа к сайту с HTTPS и перенаправление на страницу о сертификате.

Казахстан «ломает» HTTPS. Рис. 2

Смс-рассылка для абонентов Tele2 и Beeline

В обоих вариантах упоминается закон "О связи" ст. 26". На странице также сообщается, что "целью применения сертификата безопасности является ограничение распространения по сети телекоммуникаций запрещенной законодательством информации". Операторы Kcell и Activ разместили подобные сообщения и инструкции по установке сертификата на своих официальных порталах. Сам сертификат можно скачать на сайте qca.kz, чье доменное имя зарегистрировано на частное лицо – Аскара Дюссекеева.

Министерство цифрового развития, инноваций и аэрокосмической промышленности Казахстана заявило, что нововведение касается только столицы Казахстана Нур-Султан (бывш. Астана), однако пользователи со всей страны сообщили о том, что им был закрыт доступ к Интернету, пока они не установили правительственный сертификат.

Представители министерства заявили, что эта мера была «направлена ​​на усиление защиты граждан, государственных органов и частных компаний от хакерских атак, интернет-мошенников и других видов киберугроз». По их словам жителям республики всего лишь предоставляется возможность установки.

Пользователи в сети бьют тревогу и называют данные меры самой настоящей угрозой безопасности. По их мнению установка сертификата позволит властям осуществлять атаку man-in-the-middle с подменой сертификата.

Это уже не первая попытка правительства Казахстана. До этого, в декабре 2015 года, было опубликовано решение о необходимости установить корневой сертификат к 1 января 2016 года, которое так же касалось всех граждан. В тот раз оно выполнено не было. В то же время представители власти обратились к Mozilla с просьбой включить корневой сертификат в Firefox по умолчанию, но Mozilla отказалась.

Сейчас Google, Microsoft, Mozilla и другие производители браузеров обсуждают план действий, которые стоит предпринять по отношению к (рас)шифрованным с помощью данного сертификата сайтам, но пока конкретных решений не представлено.

Смотреть все статьи по теме "Информационная безопасность"

Читайте также
Кибервойна против России — это не сюжет блокбастера, а суровая реальность, где каждый сбой в защите данных может стать ударом по национальной безопасности. Александр Хинштейн уверен: в мире, где персональные данные превратились в «новое золото», важна не только защита, но и готовность бить по рукам тех, кто подбирается к этому богатству. Какой должна быть новая система обороны в цифре, кого можно допустить к хранению наших данных и почему бизнесу придется ответить рублем за утечки, рассказывает председатель комитета Государственной Думы Федерального Собрания Российской Федерации по информационной политике, информационным технологиям и связи.

Похожие статьи