Казахстан начинает насильно перехватывать HTTPS интернет-трафик граждан

Правительство Казахстана выпустило рекомендацию для всех основных местных провайдеров интернет-услуг. Теперь для получения доступа к интернету, пользователи обязаны устанавливать на свои устройства выданные правительством корневые сертификаты.

Правительственный корневой сертификат, по-другому - «доверенный сертификат» или «сертификат национальной безопасности», позволяет интернет-провайдерам перехватывать и контролировать зашифрованные HTTPS и TLS соединения пользователей. За счет этого у правительства появляется возможность следить за гражданами и эффективно цензурировать контент.

Начиная с апреля этого года, казахстанские интернет-провайдеры начали информировать своих клиентов о «сертификате национальной безопасности», который необходимо установить для продолжения бесперебойного доступа к списку «разрешенных» сайтов HTTPS.

Теперь Tele2, один из крупнейших казахстанских интернет-провайдеров, наконец-то начал перенаправлять все HTTPS-соединения своих клиентов на веб-страницу, содержащую файлы сертификатов и инструкции по его установке на устройства Windows, macOS, Android и iOS.

Другие национальные интернет-провайдеры, перечисленные ниже, также планируют начать заставлять своих пользователей Интернета устанавливать корневой сертификат в ближайшее время в соответствии с законодательством.

Рекомендация была дана в соответствии с поправками к Закону о связи 2004 года, которые правительство Казахстана приняло в ноябре 2015 года.

Согласно пункту 11 статьи 26 «Правил выдачи и применения сертификата безопасности», все национальные поставщики услуг связи обязаны контролировать зашифрованный интернет-трафик клиентов с использованием государственных сертификатов безопасности.

Закон должен был вступить в силу с 1 января 2016 года, но правительство Казахстана не смогло заставить местных интернет-провайдеров следовать рекомендациям, что привело к ряду крупных судебных исков.

Похоже, что сейчас казахстанское правительство предпринимает очередную попытку форсировать изменения, подвергая риску конфиденциальность и безопасность миллионов своих граждан как со стороны хакеров, так и самого правительства, нарушая основы протокола интернет-безопасности.

В результате, не только пострадает конфиденциальность граждан, но и их безопасность также будет под угрозой. Поскольку до установки правительственного сертификата пользователи могут просматривать только не-HTTPS сайты, то и сам «сертификат национальной безопасности» доступен для скачивания только через незащищенные HTTP соединения, что открывает возможность для хакеров легко заменять эти файлы при помощи MiTM-атак.