Сегодня, с некоторым опозданием (уже после так называемого тестирования), разработчики Google Chrome в своем security-блоге (пост) опубликовали информацию, что в рамках защиты пользователей Казахстана национальный сертификат добавлен в CRLSets (набор аннулированных сертификатов).
Инициативы придерживается и Mozilla Firefox (ссылка):
В целях защиты наших пользователей Firefox вместе с Chrome заблокирует использование корневого сертификата центра сертификации в Казахстане. Это означает, что Firefox не будет доверять ему, даже если он установлен пользователем. Мы считаем, что это адекватный ответ, так как пользователям в Казахстане не предложен разумный выбор, устанавливать ли сертификат, и так как эта атака подрывает целостность важного механизма безопасности сети. При попытке получить доступ к сайту, который отвечает с помощью этого сертификата, пользователи Firefox увидят сообщение об ошибке, в котором сообщается, что сертификату не следует доверять.
Заблокирован следующий сертификат:
| Поле | Значение |
|---|---|
| Common Name | Qaznet Trust Network |
| SHA-256 Fingerprint | 00:30:9C:73:6D:D6:61:DA:6F:1E:B2:41:73:AA:84:99:44:C1:68:A4:3A:15:BF:FD:19:2E:EC:FD:B6:F8:DB:D2 |
| SHA-256 of Subject Public Key Info | B5:BA:8D:D7:F8:95:64:C2:88:9D:3D:64:53:C8:49:98:C7:78:24:91:9B:64:EA:08:35:AA:62:98:65:91:BE:50 |
Добавление сертификата в аннулированные технически обусловлено тем, что браузер Chrome при создании защищенных подключений доверяет сертификатам, которые локально установлены на компьютере (или мобильном устройстве) пользователя.
Этим шагом Chrome, наряду с другими браузерами, предпринял шаги для защиты пользователей от перехвата или изменения TLS-соединений с веб-сайтами.
Кроме того, сертификат будет добавлен в черный список в исходном коде Chromium. Следовательно, это изменение будет включено и в другие продукты, основанные на Chromium.
Комментарии (20)
Meklon
21.08.2019 15:00+1Отлично. Firefox молчит?
kITerE Автор
21.08.2019 15:06
В целях защиты наших пользователей Firefox вместе с Chrome заблокирует использование корневого сертификата центра сертификации в Казахстане. Это означает, что Firefox не будет доверять ему, даже если он установлен пользователем. Мы считаем, что это адекватный ответ, так как пользователям в Казахстане не предложен разумный выбор, устанавливать ли сертификат, и так как эта атака подрывает целостность важного механизма безопасности сети. При попытке получить доступ к сайту, который отвечает с помощью этого сертификата, пользователи Firefox увидят сообщение об ошибке, в котором сообщается, что сертификату не следует доверять.
kITerE Автор
21.08.2019 15:25Кстати, интересный момент:
Mozilla открыто пишет, название своего конкурента
В целях защиты наших пользователей Firefox вместе с Chrome
To protect our users, Firefox, together with Chrome,
Google не указывает конкретных других браузеров
Chrome, along with other browsers
tvr
21.08.2019 16:32Хорошо подмечено. Почему то сразу вспомнилось:
"— Нас будет трое, из которых один раненый, и в придачу юноша, почти ребёнок, а скажут, скажут что нас было четверо."skylevels
21.08.2019 17:18Ты знаешь правила…
Хотя стоп, это же хабр ;)
Alex_ME
21.08.2019 17:41Я правильно понимаю, что
- В Казахстане весь* TLS трафик идёт через какие-то средства анализа, которые подменяют сертификат на свой
- Если корневой сертификат для MiM не установлен, то все* HTTPS сайты будут недоступны по причине подмены сертификата
Следовательно
- После обновления Firefox/Chrome пользователи обнаружат, что HTTPS сайты* накрылись?
Превосходный ход.
*: может, не весь, а особо интересные сайты
kITerE Автор
21.08.2019 17:57С одной стороны Firefox с своем посте вносит конструктивные предложения о том, что нужно делать пользователю:
Мы рекомендуем пользователям в Казахстане, затронутых этим изменением, рассмотреть возможность использования ПО виртуальной частной сети (VPN) или браузера Tor для доступа к Интернету. Мы также настоятельно рекомендуем всем, кто выполнил действия по установке корневого сертификата правительства Казахстана, удалить его с ваших устройств и немедленно изменить ваши пароли, используя надежный уникальный пароль для каждой из ваших учетных записей в Интернете.
С другой стороны сейчас эксперимент со стороны правительства закончен, а браузеры просто оставили некоторую защиту от дурака (опять же подчеркну — после окончания MITM'а): мало ли кем конкретно этот сертификат может быть скомпрометирован.
dartraiden
21.08.2019 23:07Трафик уже не MitM-ится, поэтому следствие неверно. Если Казахстан захочет повторить эксперимент, используя этот же самый сертификат, тогда да, те ресурсы, соединение с которыми в Казахстане захотят MitM-ить, будут недоступны.
pprometey
22.08.2019 06:04Вот и «потестировали»…
Мне теперь интересно, что дальше будет. То что клептократы, узурпировшие власть в Казахстане не оставят попыток контролировать информационное пространство, в этом я не сомневаюсь.
Попытались «с наскока» в лоб, тупо и топорно решить эту проблему, получили по рукам, отползли… Но попыток то не оставят.
Доступ к интернету «централизован». И власти имеют доступ к рубильнику, с помощью которого точечно и глобально могут отключать интернет. Но это дорогое решение, ибо ИТ активно и прочно вошло в жизнь казахстанцев. Даже та же самая безналичная оплата, можно смело идти на базар без наличности. Все принимают онлайн переводы через банковское приложение по номеру телефона.
Другой вариант — стоить свой огороженный «чебурнет». О чем активно сейчас ведутся дискуссию в РФ, да не только ведутся, но и делается многое для этого. Где будет запрещено все, кроме того, что разрешено.
А тут еще Илон Маск с глобальным интернетом, и не только он один. Да, нелегко приходится клептократом, все сложнее и сложнее воровать… Не то что раньше… Будь ты проклята эта цивилизация, не дают нормально «человеку» грабить и оболванивать свой народ.
alsii
22.08.2019 09:55Правильно ли я понимаю, что это исторически первый случай отзыва сертификата в связи с его "злонамеренным использованием", а не в связи с компрометацией (его или выдавшего его CA)?
kITerE Автор
22.08.2019 15:01. (Отвечал не на заданный вопрос, сори)
А по теме, Mozilla пишет так:
Тем не менее, когда пользователь в Казахстане устанавливает корневой сертификат, предоставленный своим провайдером, он выбирает центр сертификации, который не обязан следовать каким-либо правилам и может выдать сертификат для любого сайта любому пользователю.
То есть Mozilla не доверяет этому центру сертификации, что можно интерпретировать как "компрометация" сертификата.
alsii
22.08.2019 17:38Компрометация — это все же другое. Это когда приватный ключ утек и смысл сертификата, как удостоверения принадлежности ключа конкретному владельцу потерян. В данном случае речь идет о том, что тот, кто выдает сертификаты ведет себя нехорошо. А вот такие слчаи уже были. Так что ответ на мой вопрос: "нет". Спасибо за наводку :)
Almet
Вот это поворот, вор у вора пытается украсть?
kITerE Автор
Кто, что и у кого пытается украсть? Кто главные герои вашего комментария и каков объект кражи?
Almet
Свободу выбора
dartraiden
Ваша «свобода» (свобода
наступить в горшок с дерьмомвкорячить себе казаха-по-середине) угрожает моей — моё правительство, поглядев на успешный опыт соседа, может попытаться провернуть такой же финт ушами.Теперь же, вдобавок к проблемам установки сертификата (не во весь софт его так просто запихнуть), будут и проблемы отключения обновлений браузера (в новых версиях браузеров этот сертификат в чёрном списке изначально) + отключения обновления чёрного списка, что ещё больше увкличивает число тех, кто не осилит = число недовольных граждан. Большая ошибка недооценить недовольство, например, родителей, ребёнок которых требует «Машу и медведя» и прочих «свинок Пепп», а ютубчик не работает из-за дуболомов в правительстве. Это прекрасный способ настроить против себя даже ту часть населения, которая далека от политики.