Казахстан «защитил» граждан, перехватывая HTTPS-трафик

Правительство Казахстана решило перехватывать весь зашифрованный HTTPS-трафик на территории страны. Для этого все местные провайдеры к 17 июля были обязаны заставить пользователей установить на все устройства государственный «доверенный сертификат» Qaznet.

После его установки, пишет ZDNet, компетентные ведомства могут расшифровать HTTPS-трафик пользователя, ознакомиться с его содержимым, и зашифровать обратно. Без установки сертификата зайти на сайты с HTTPS (а таких сейчас большинство) нельзя — провайдер блокирует доступ и выдаёт страницу-заглушку:

В тексте сообщается, что «целью применения сертификата безопасности является ограничение распространения по сети телекоммуникаций запрещенной законодательством информации» и предлагается перейти по ссылке для установки сертификата. Некоторым абонентам поступили SMS с напоминанием «в соответствии с Законом «О связи» ст. 26″ установить сертификат на все выходящие в Интернет устройства:

В министерстве цифрового развития Казахстана сообщили накануне о проведении технических работ, направленных на «усиление защиты граждан, государственных органов и частных компаний от хакерских атак, интернет-мошенников и иных видов киберугроз». При этом утверждается, что «работы» ограничены столицей страны, городом Нур-Султан (в прошлом — Астана). Однако о проблемах с доступом к HTTPS-сайтам без сертификата сообщают и из других районов страны.

Эксперты пишут, что установка сертификата позволит властям осуществлять атаку man-in-the-middle с подменой сертификата. То есть, например, зайдя на сайт Gmail пользователь обнаружит, что его трафик зашифрован уже не сертификатом Google, при этом браузер предупредит о подмене и предложит воздержаться от посещения сайта.

Источник: vesti.ru