Казахстан "защитил" граждан, перехватывая HTTPS-трафик

Правительство Казахстана решило перехватывать весь зашифрованный HTTPS-трафик на территории страны. Для этого все местные провайдеры к 17 июля были обязаны заставить пользователей установить на все устройства государственный "доверенный сертификат" Qaznet.

После его установки, пишет ZDNet, компетентные ведомства могут расшифровать HTTPS-трафик пользователя, ознакомиться с его содержимым, и зашифровать обратно. Без установки сертификата зайти на сайты с HTTPS (а таких сейчас большинство) нельзя — провайдер блокирует доступ и выдаёт страницу-заглушку:



В тексте сообщается, что "целью применения сертификата безопасности является ограничение распространения по сети телекоммуникаций запрещенной законодательством информации" и предлагается перейти по ссылке для установки сертификата. Некоторым абонентам поступили SMS с напоминанием "в соответствии с Законом "О связи" ст. 26" установить сертификат на все выходящие в Интернет устройства:



В министерстве цифрового развития Казахстана сообщили накануне о проведении технических работ, направленных на "усиление защиты граждан, государственных органов и частных компаний от хакерских атак, интернет-мошенников и иных видов киберугроз". При этом утверждается, что "работы" ограничены столицей страны, городом Нур-Султан (в прошлом — Астана). Однако о проблемах с доступом к HTTPS-сайтам без сертификата сообщают и из других районов страны.

Эксперты пишут, что установка сертификата позволит властям осуществлять атаку man-in-the-middle с подменой сертификата. То есть, например, зайдя на сайт Gmail пользователь обнаружит, что его трафик зашифрован уже не сертификатом Google, при этом браузер предупредит о подмене и предложит воздержаться от посещения сайта.