22.08.19 15:22
Google и Mozilla заблокировали возможность установки в браузерах Chrome и Firefox «шпионского» сертификата, использование которого интернет-пользователям Казахстана ранее пытались навязать власти под предлогом защиты от киберугроз и противоправного контента. Об этом сообщил CNews со ссылкой на ресурс Vice.
Также представители компаний заявили о том, что выступают против слежки в любом виде и всегда будут предпринимать соответствующие меры, нацеленные на защиту пользователей своих продуктов по всему миру.
Корневой сертификат – это специальный файл, который после установки в веб-браузере пользователя позволяет тому работать с зашифрованным трафиком. Современные браузеры поставляются со списком доверенных организаций, которые занимаются выдачей корневых сертификатов. Такие организации называются центрами сертификации (CA, Certificate Authority). Центры сертификации, в свою очередь, могут выдавать отдельные сертификаты конкретным сайтам.
Как отмечает Vice, правительство Казахстана не относится к числу доверенных CA, поэтому не может рассчитывать на поддержку со стороны Google и Mozilla. Однако оно по-прежнему может обязать граждан пользоваться браузером собственной разработки с любым набором предустановленных сертификатов.
Что произошло в Казахстане
Напомним, в июле 2019 г. телеком-операторы Казахстана, частности Tele2, Beeline, Activ и Kcell, начали уведомлять клиентов о необходимости установить специальный сертификат безопасности Qaznet на все абонентские устройства с доступом в интернет. Пользователей предупредили о том, что отказ от его установки может привести к невозможности выйти в Сеть.
По свидетельству некоторых пользователей из столицы Казахстана, без установки сертификата и впрямь было невозможно зайти на сайты, которые форсируют использование безопасного протокола HTTPS с помощью механизма HSTS, каких сейчас большинство. Вместо запрашиваемого сайта провайдеры выдавали страницу-заглушку с призывом установить сертификат.
Загрузить сертификат пользователям предлагалось с сайта qca.kz, доменное имя которого принадлежало частному лицу, предположительно связанному с Министерством цифрового развития, инноваций и аэрокосмической промышленности Казахстана.
Установка сертификата позволила бы властям Казахстана перехватывать, расшифровывать и модифицировать HTTPS-трафик пользователей перед дальнейшей отправкой к узлу назначения, то есть осуществлять так называемую атаку посредника – MITM (Man in the middle, «человек посередине»). Кроме властей воспользоваться лазейкой могли бы и злоумышленники со стороны, отмечал президент интернет-ассоциации Казахстана Шакват Сабиров.
В августе 2019 г. президент Казахстана Касым-Жомарт Токаев опубликовал в своем Twitter сообщение, в котором объяснил произошедшее тестированием сертификата безопасности в рамках программы «Киберщит». Он поблагодарил Комитет национальной безопасности (КНБ), который, как выяснилось, по его личному поручению проводил испытания. Токаев также отметил, что сертификат будет использоваться только в случаях вторжения извне.
