Firefox и Chrome против государственной слежки
В июле операторы связи Казахстана принудили абонентов установить на свои устройства сертификат безопасности для доступа в интернет. Вчера разработчики Google и Mozilla сообщили, что будут блокировать работу таких SSL сертификатов в автоматическом режиме.
Установка сертификата позволила бы властям Казахстана перехватывать, расшифровывать и модифицировать HTTPS-трафик пользователей перед дальнейшей отправкой к узлу назначения, то есть осуществлять так называемую атаку посредника – MITM (Man in the middle, «человек посередине»).
В августе 2019 г. президент Казахстана Касым-Жомарт Токаев опубликовал в своем Twitter сообщение, в котором объяснил произошедшее тестированием сертификата безопасности в рамках программы «Киберщит». Он поблагодарил Комитет национальной безопасности (КНБ), который, как выяснилось, по его личному поручению проводил испытания. Токаев также отметил, что сертификат будет использоваться только в случаях вторжения извне.
В заявлениях Mozzilla и Google говорится
В целях защиты наших пользователей Firefox вместе с Chrome заблокирует использование корневого сертификата центра сертификации в Казахстане. Это означает, что браузеры не будет доверять ему, даже если он установлен пользователем. Мы считаем, что это адекватный ответ, так как пользователям в Казахстане не предложен разумный выбор, устанавливать ли сертификат, и так как эта атака подрывает целостность важного механизма безопасности сети. При попытке получить доступ к сайту, который отвечает с помощью этого сертификата, пользователи увидят сообщение об ошибке, в котором сообщается, что сертификату не следует доверять.
Добавление сертификата в аннулированные технически обусловлено тем, что браузер при создании защищенных подключений доверяет сертификатам, которые локально установлены на компьютере (или мобильном устройстве) пользователя.
Кроме того, сертификат будет добавлен в черный список в исходном коде Chromium. Следовательно, это изменение будет включено и в другие продукты, основанные на Chromium.