Правительство Казахстана решило перехватывать весь зашифрованный HTTPS-трафик на территории страны. Для этого все местные провайдеры к 17 июля были обязаны заставить пользователей установить на все устройства государственный «доверенный сертификат» Qaznet.
После его установки «компетентные ведомства» могут расшифровать HTTPS-трафик пользователя, ознакомиться с его содержимым, и зашифровать обратно. Без установки сертификата зайти на сайты с HTTPS (а таких сейчас большинство) нельзя — провайдер блокирует доступ и выдаёт страницу-заглушку.
В официальном тексте сообщается, что «целью применения сертификата безопасности является ограничение распространения по сети телекоммуникаций запрещённой законодательством информации», и предлагается перейти по ссылке для установки сертификата.
В Министерстве цифрового развития Казахстана сообщили накануне о проведении технических работ, направленных на «усиление защиты граждан, государственных органов и частных компаний от хакерских атак, интернет-мошенников и иных видов киберугроз».
При этом утверждается, что «работы» ограничены столицей страны Нур-Султаном, однако о проблемах с доступом к HTTPS-сайтам без сертификата сообщают и из других районов страны.
Эксперты пишут, что установка сертификата позволит властям осуществлять атаку man-in-the-middle с подменой сертификата. То есть, например, зайдя на сайт Gmail пользователь обнаружит, что его трафик зашифрован уже не сертификатом Google, а сторонним. При этом браузер предупредит о подмене и предложит воздержаться от посещения сайта.
По мнению специалистов, это очень серьёзный удар по всем пользователям:
«Помимо самого вопиющего факта государственной цензуры и возможности просмотра личной переписки, будут большие проблемы с устройствами и софтом, которые не позволяют добавить левый сертификат. Они превратятся в тыкву. Но это никого не волнует.
Не менее важным фактором является потенциальная утечка личных данных, паролей к сервисам, которые наверняка будут централизованно собираться».
Согласно индексу свободы интернета за 2018 год, Казахстан набрал 62 балла из 100 (где 100 = самый несвободный, а 0 = самый свободный). Для сравнения: Беларусь имела 64 балла, Россия — 67, Узбекистан — 75, а самый несвободный интернет был в Китае — 88 баллов. Украина набрала 45 баллов, а самыми свободными оказались Эстония и Исландия (по 6 баллов). Но судя по всему, Казахстан решил обогнать всех.
Остаётся только надеяться, что дурной пример не станет заразительным для других стран…
А как вы относитесь к подобным государственным инициативам?