Казахстан является испытательным полигоном для нового ядерного варианта, который может уничтожить всю нашу веб-безопасность.

За последние несколько лет были предприняты согласованные усилия по повышению безопасности и конфиденциальности пользователей Интернета путем поощрения веб-сайтов к переходу на HTTPS; это означает, что весь интернет-трафик между веб-сайтом и пользователем зашифрован. Это означает, что, хотя поставщики интернет-услуг могут знать, какие веб-сайты вы посещаете, они не имеют доступа к информации, которой обмениваются веб-сайт и конечные пользователи.

Google был одной из главных движущих сил этого шага, понизив рейтинг веб-сайтов в своих очень важных результатах поиска, которые не используют шифрование HTTPS. И Firefox, и Google в настоящее время помечают веб-сайты, которые не используют HTTPS, как «небезопасные». Это расстроило правительства и службы безопасности по всему миру; но бывшая российская республика Казахстан нашла способ обойти безопасность, заставив пользователей Интернета устанавливать свой корневой сертификат.

Как сообщалось в Bugzilla 18 июля, казахстанский интернет-провайдер MITM рассылает SMS-сообщения мобильным пользователям, направляя их на веб-сайт, где их просят установить гнусный сертификат. После этого весь зашифрованный трафик, идущий на Twitter, YouTube, Facebook, Gmail, Mail.ru, VK.com и Tamtam.chat, направляется на государственные серверы, а затем передается на хосты. Конечные пользователи сообщают, что это также привело к блокировке некоторых веб-сайтов и страниц в Facebook и появлению ошибок 403.

Жители Казахстана, комментируя ветку Bugzilla, описывают правительство Казахстана как авторитарное и диктаторское и призывают Mozilla, создателей Firefox, принять решительные меры против этой атаки на систему безопасности. Некоторые предлагаемые предложения включают: запрет на установку сертификатов конечными пользователями и предупреждение конечных пользователей о том, что установка сертификата явным образом поставит под угрозу их конфиденциальность и безопасность — то, что браузер в настоящее время не делает. В качестве альтернативы можно предпринять более целенаправленные действия, например отозвать сертификат. В настоящее время, как представляется, не существует какого-либо конкретного соглашения о том, какой курс действий следует соблюдать.

В то время как проблемы, затрагивающие 18.6 миллионов человек в Казахстане, могут показаться остальным не очень важными; такое нападение было бы легко воспроизвести западным правительствам, таким как США, Австралия и Великобритания, у каждого из которых есть свои собственные мотивы внимательно следить за своими гражданами, начиная от терроризма и заканчивая порнографией и нарушением авторских прав.

Следите за дебатами по этому очень важному вопросу на Bugzilla здесь.