Казахстан внедряет свой CA для прослушивания всего TLS-трафика

Доброго времени суток пользователи интернета.

Многие ли из вас заметили проблемы с интернетом, и недоступностью некоторых сайтов?

Я тоже это заметил. И на мой взгляд это возможно связано с тем что Казахстан внедряет свой сертификат для прослушивания трафика.

Многие знают, что на таких сайтах как: lada.kz, google.com, YouTube.com, vk.com; в браузере рядом с адресом сайта расположен зеленый замочек.
Который означает что у сайта есть сертификат, благодаря которому соединение с сайтом зашифровано и не может быть перехвачено третьими лицами.

Подлинность сертификата подтверждает “ CA ”
Сертификационный центр (CA) — центр, которому все доверяют как надежной третьей стороне, подтверждающей подлинность ключей шифрования с помощью сертификатов электронной подписи.

Казахтелеком пишет:
Национальный сертификат безопасности обеспечит защиту казахстанских пользователей при использовании протоколов шифрованного доступа к зарубежным ресурсам сети Интернет.

Это значит, что будут расшифровывать, уже зашифрованный трафик. Получать все что вы получаете или отправляете через интернет. Зашифровывать своим сертификатом и отдавать вам.

А по сути это MITM: Атака посредника или атака «человек посередине».
Ссылка на википедию: https://ru.wikipedia.org/wiki/Атака_посредника

Так же, этот сертификат нужно будет устанавливать на все устройства, которые имеют доступ в интернет. Иначе при отсутствии установленного сертификата на Вашем устройстве, сайты, использующие шифрование по HTTPS-протоколу (mail.ru, google и т.д.), могут быть недоступны.


Технические детали
Следует иметь в виду следующее. Речь идет о технологии SSL Bump, которая прозрачным для пользователя образом позволяет дешифровать большинство SSL-туннелей (следует читать TLS, конечно), перлюстрировать их содержимое, и зашифровывать обратно. Особенно уязвимы системы с однослойным шифрованием, т.е. большинство социальных сетей, часть IM, все интернет-банкинги с веб-доступом, и тому подобное. Системы с многослойным шифрованием, с высокой вероятностью, будут просто блокироваться. Отдельный вопрос заключается в возможности использования VPN и SSH. Данная технология не позволяет расшифровывать данные туннели, а блокирование подобного трафика может оказаться фатальным для бизнеса и безопасности администрирования.

Оригинальная новость на сайте Казахтелекома была удалена (сейчас происходит перенаправление на главную страницу) telecom.kz/news/view/18729
Однако можно прочитать в веб-архиве: https://web.archive.org/web/20151202213445/http://telecom.kz/news/view/18729

Так же была новость об этом:
http://www.computerworld.kz/news/9466/ (тоже удалена) но доступна в веб-архиве: https://web.archive.org/web/20160205070013/http://www.computerworld.kz/news/9466/

Об этом сертификате на сайте Билайн: https://www.beeline.kz/ru/mobile_help/sertificatofsecurity

Сам национальный сертификат: http://telecom.kz/certificate

Мнение людей, на этот счет (хорошо разбирающихся в IT):

Юрий Воинов IT - профессионал с большим опытом практической работы.
http://yvoinov.blogspot.nl/2015/12/blog-post.html

Гуменюк Иван - Linux администратор и пользователь сайта habrahabr.ru
https://habrahabr.ru/post/303736/

Мне как законопослушному гражданину скрывать нечего, но также и не хочется, что бы читали мою переписку или электронную почту. Я сам за то, чтобы у органов была возможность получить доступ к электронной почте или переписке. Так как это может помочь раскрыть или предотвратить преступление, или найти пропавшего человека. Но это должно делаться цивилизованным способом, с постановлением суда.
Доброго времени суток пользователи интернета.

Многие ли из вас заметили проблемы с интернетом, и недоступностью некоторых сайтов?

Я тоже это заметил. И на мой взгляд это возможно связано с тем что Казахстан внедряет свой сертификат для прослушивания трафика.

Многие знают, что на таких сайтах как: lada.kz, google.com, YouTube.com, vk.com; в браузере рядом с адресом сайта расположен зеленый замочек.
Который означает что у сайта есть сертификат, благодаря которому соединение с сайтом зашифровано и не может быть перехвачено третьими лицами.

Подлинность сертификата подтверждает “ CA ”
Сертификационный центр (CA) — центр, которому все доверяют как надежной третьей стороне, подтверждающей подлинность ключей шифрования с помощью сертификатов электронной подписи.

Казахтелеком пишет:
Национальный сертификат безопасности обеспечит защиту казахстанских пользователей при использовании протоколов шифрованного доступа к зарубежным ресурсам сети Интернет.

Это значит, что будут расшифровывать, уже зашифрованный трафик. Получать все что вы получаете или отправляете через интернет. Зашифровывать своим сертификатом и отдавать вам.

А по сути это MITM: Атака посредника или атака «человек посередине».
Ссылка на википедию: https://ru.wikipedia.org/wiki/Атака_посредника

Так же, этот сертификат нужно будет устанавливать на все устройства, которые имеют доступ в интернет. Иначе при отсутствии установленного сертификата на Вашем устройстве, сайты, использующие шифрование по HTTPS-протоколу (mail.ru, google и т.д.), могут быть недоступны.


Технические детали
Следует иметь в виду следующее. Речь идет о технологии SSL Bump, которая прозрачным для пользователя образом позволяет дешифровать большинство SSL-туннелей (следует читать TLS, конечно), перлюстрировать их содержимое, и зашифровывать обратно. Особенно уязвимы системы с однослойным шифрованием, т.е. большинство социальных сетей, часть IM, все интернет-банкинги с веб-доступом, и тому подобное. Системы с многослойным шифрованием, с высокой вероятностью, будут просто блокироваться. Отдельный вопрос заключается в возможности использования VPN и SSH. Данная технология не позволяет расшифровывать данные туннели, а блокирование подобного трафика может оказаться фатальным для бизнеса и безопасности администрирования.

Оригинальная новость на сайте Казахтелекома была удалена (сейчас происходит перенаправление на главную страницу) telecom.kz/news/view/18729
Однако можно прочитать в веб-архиве: https://web.archive.org/web/20151202213445/http://telecom.kz/news/view/18729

Так же была новость об этом:
http://www.computerworld.kz/news/9466/ (тоже удалена) но доступна в веб-архиве: https://web.archive.org/web/20160205070013/http://www.computerworld.kz/news/9466/

Об этом сертификате на сайте Билайн: https://www.beeline.kz/ru/mobile_help/sertificatofsecurity

Сам национальный сертификат: http://telecom.kz/certificate

Мнение людей, на этот счет (хорошо разбирающихся в IT):

Юрий Воинов IT - профессионал с большим опытом практической работы.
http://yvoinov.blogspot.nl/2015/12/blog-post.html

Гуменюк Иван - Linux администратор и пользователь сайта habrahabr.ru
https://habrahabr.ru/post/303736/

Мне как законопослушному гражданину скрывать нечего, но также и не хочется, что бы читали мою переписку или электронную почту. Я сам за то, чтобы у органов была возможность получить доступ к электронной почте или переписке. Так как это может помочь раскрыть или предотвратить преступление, или найти пропавшего человека. Но это должно делаться цивилизованным способом, с постановлением суда.