Apple, Google, Microsoft и Mozilla заблокировали в браузерах сертификат от правительства Казахстана
Аноним
20/12/20 Вск 22:23:12
№1
13
2
Интернет-провайдеры были вынуждены внедрить 6 декабря специальный сертификат, разработанный правительственными структурами. Без его установки на территории страны была бы ограничена работа таких сайтов, как Google, Facebook, Instagram и Netflix. Официальной версией, которой поделились казахстанские чиновники, является проведение учений по кибербезопасности для госучреждений, телекоммуникационных компаний и юридических лиц.
Основной причиной, на их взгляд, стали участившиеся кибератаки на казахстанский сегмент интернета. По их информации они выросли в 2,7 раза во время пандемии COVID-19. Портал Zdnet отмечает, что такие HTTPS-сертификаты для защиты от кибератак неэффективны. Зато они могут использоваться для перехвата, фильтрации и блокировки трафика.
https://3dnews.ru/1028306/apple-google-microsoft-i-mozilla-zablokirovali-v-brauzerah-sertifikat-ot-pravitelstva-kazahstana
>правительством Казахстана
>Казахстана
Еблан? еще бы папуа новую гвинею притащил.
Для тех, кому захотелось казашку
>участившиеся кибератаки
Из нетфликса и инстаграма?
Сперму с губ своих оботри.
>тоталитарных параш
>браузеры отказались сотрудничать с CA, не выполняющим требования CA/B Forum
>тоталитарных параш
Боюсь представить, как ты называешь отказ, к примеру, сотрудничать с подрядчиками, не соблюдающими ТК РФ / РБ / твоей страны. Измена родине, хули.
Нууу такое. Разница в менталитетах всё же есть. Если наташки обычно напрямую к разлучнице идут разбираться, отсюда и столько всяких видосов где сельди из-за ерохи за гаражами друг-дружку мудохают и унижают. Гульнарки же обычно разбираются не с следствием, а с первопричиной. т.е. с хуеносцем. С разлучницами разборок не делают.
Это чисто из всяких личных наблюдений и историй.
Мимо из Казани
В двух словах, о чем новость.
Есть HTTP, протокол обмена документами, в которых можно кликать по ссылкам и т.д.
Есть HTTPS - то же самое, только эти документы должны быть зашифрованы семейством TLS. На данный момент интернет в большинстве своем использует HTTPS.
Есть TLS, семейство протоколов шифрования, в основе работы которых асимметричное шифрование.
Есть асимметричное шифрование:
1. пара открытый-закрытый ключ у каждого из субъектов инфраструктуры,
2. некоторые математические эффекты, обеспечивающие возможность с помощью этой пары отправлять сообщения, которые никто, кроме того, кому ты их отправил, не может прочитать (сложность факторизации больших чисел, или сложность преобразования операций над эллиптическими кривыми в операции над исходными ключами, или что-нибудь ещё, но это два самых распространенных варианта).
Есть субъекты инфраструктуры асимметричного шифрования:
1. Пользователи (end user certificates),
2. Доверенные центры (certificate authorities),
3. Корневые центры (root certificate authorities),
где пользователи заверяют свои сертификаты у доверенных центров, те свои возможно у других доверенных центров, и т.д. вплоть до корневых центров.
Если каждый из субъектов может отследить цепочку сертификатов, участвовавших в синтезе сертификата любого другого субъекта, и корневые сертификаты в этой цепочке известны, это означает, что подключение защищено (ну, с вычислительной точки зрения, тяжело получить закрытые ключи абонентов, а без них не вычислить сессионные ключи, а без них не прочитать логины, пароли и прочую конфиденциальную инфу).
Вся эта иерархия нужна, чтобы управлять рисками. Чем ближе вы в этой иерархии к корневому центру, тем реже и тем под большим присмотром вы подписываете чужие сертификаты, тем ниже шанс вас скомпрометировать (заставить подписывать сертификаты злоумышленников, например).
Корневых центров сертификации, которым принадлежат корневые сертификаты, очень мало, их все знают, какая-то их часть зашита в системы и браузеры во время установки, какая-то устанавливается сторонним софтом, но в целом, новые корневые центры в системе это событие. Но я увлекся, суть не в этом.
Наверное, харкач скоро обрежет мой пост, так что разобью на два.
Таблетки принимай, хрюкан.
Обезличку не могли просто скинуть?
Вот всё что севернее линии придётся вернуть России, а южнее - туда всех дикарей сплавить и пусть живут, как хотят.
Итак, поехали дальше.
Что прямо сейчас делают казахстанские власти. Они вынуждают казахстанских провайдеров реализовать следующую схему, известную как "man-in-the-middle (MitM)":
1. При установке пользователем защищенного соединения с условным гуглом, перенаправлять пользователя на некие правительственные казахстанские серверы, чтобы пользователь установил защищенное соединение не с гуглом, а с ними.
2. Правительственные серверы, в свою очередь, устанавливают защищенное соединение с гуглом сами, а данные пользователя просто перенаправляют в обе стороны. На этапе перенаправления (после дешифрования данных от пользователя в соединении пользователь - правительственный сервер, но до шифрования данных в соединении правительственный сервер - гугл) они могут читать эти данные - любые реквизиты для входа, логины и пароли, коммерческую переписку, что угодно.
У этой схемы есть несколько важных деталей.
1. Раз пользователь устанавливает защищенное соединение с правительственным сервером, правительственный сервер должен быть легитимен с точки зрения пользователя (его сертификат должен иметь в issuer'ах корневой сертификат из числа установленных в системе).
Поэтому казахстанские власти последние 2 года пытаются принудить пользователей установить такой сертификат, а иначе угрожают де-факто запретить пользоваться интернетом.
2. Соединение, реализованное по схеме MitM, не является защищенным. Очевидно, ведь данные по дороге читает, кто попало.
3. Есть технологии, которые запрещают устанавливать MitM-соединение, по причине, описанной в пункте 2. Две главные из них:
-- HSTS (не помню деталей, но в двух словах, запрещает перенаправлять, как описано выше, на какие-то серверы, отличные от гугла, при подключении к гуглу),
-- certificate pinning (приложение клиента хранит список сертификатов, и если сертификат сервера не входит в их число, например если на той стороне правительственный сервер-посредник, а не сам гугл, приложение разрывает соединение).
Соответственно, вся эта связка (сертификаты - корневые центры в системе - технологии защиты от митма) используется, чтобы все пользователи какого бы то ни было сервиса, если у них в браузере горит зеленым замочек HTTPS / HSTS / whatever, знали, что их пароли никто из участников сетевого соединения не читает, и лишний нолик в транзакциях не подрисовывает.
Казахстанские власти лишают всех субъектов этой системы гарантий надежности соединения. Поэтому им и нужен свой корневой сертификат - зная о цели использования, никакой корневой центр промежуточный сертификат им бы не подписал. И поэтому их корневой сертификат банят браузеры (и должны, по хорошему, банить еще и операционные системы).
Соединение, устанавливаемое с использованием такого сертификата, не является защищенным, и утверждать обратное - ложь. Поэтому у казахстанских властей, если они хотят играть в чебурнет, выход один - даунгрейдить соединение до незащищенных аналогов, но тогда весь современный софт будет орать, что подключение не защищено. Ну и придумывать аналоговнетный софт, потому что с незащищенным соединением в 2020 году очень многие сервисы работать отказываются.
>>8968127
>подрядчи это и есть казахстан
Проблема в том, анон, что в этой схеме есть не только гражданин Республики Казахстан (агент), но и серверы, к которым он получает доступ (контрагент(ы)). И инфраструктура, которой они пользуются, не называет защищенным то, что таковым не является, и не обязана это делать, равно как и допускать компрометацию гражданином или его агентом в лице казахстанских провайдеров.
>зная о цели использования, никакой корневой центр промежуточный сертификат им бы не подписал
Поправка: никакой корневой центр из числа адекватных, тех, которые не приходится специально запрещать для установки в браузер.
А так да, можно дома взять openssl, нагенерить граф сертификатов и поиграть в митм в домашней инфре, только воткнуть этот митм перед интернетом и пользоваться интернет-сервисами в 2020 таким образом не получится, всё вокруг будет орать и глючить. Эквайринг, например, не будет работать вообще ни в каком виде.
Там всё русская земля. То что там полторы обезьяны бегало не считается, потому что у них не было никакой государственности.
Первое государство на этих землях была Россия, поэтому всё нужно вернуть хозяину.
Дикари должны спасибо сказать, что их из средневековья вытащили, отмыли, накормили, говорить научили. Даже землю дали, что вообще нонсенс.
>Там всё русская земля
Русский лишь чиркаш на труханах.
>там полторы обезьяны бегало не считается
Так и есть, бегает 1,5 русни или хохла "козаки".
>у них не было никакой государственности
Так и есть, пока европейцы и грекопидоры не построили русне государственность, так и ебали русичи друг друга в попки.
>Первое государство на этих землях была Россия
В маняфантазиях русни блохастой?
>Дикари должны спасибо сказать, что их из средневековья вытащили
Так и есть, на начало 20 века русня была безграмотной селюковой отрыжкой.
>отмыли, накормили, говорить научили
Вот-вот-вот. Только русня обратно скатилась в своем развитии.
>Даже землю дали, что вообще нонсенс
Русня как правило без земли живет, в аренду, в долг.
Подгоревший казах какой-то. Только вот землю придётся вернуть России, а сам можешь ехать на юг и носиться в степи на жеребцах и пить кумыс.
>>8968388
>на своей земле
Какой своей? Там не было никакого государства, любой мимокрокодил мог объявить её "своей". Россия была первым государством - вот это реальный хозяин.
>йододефицитный, как сосется?
Откуда я знаю, как тебе сосется? Наверное, не очень, раз пытаешься в такие нелепые перефорсы.
>Там всё русская земля.
Даманский чей?
>ограничена работа таких сайтов, как Google, Facebook, Instagram и Netflix
Пора казахским хакерам вмешаться в работу этих компаний.
>Так называемый "Казахстан" - это большое недоразумение у границ России, как и Копроина с Блядорусью.
>Я уже упомянул копроину.
>Алсоу. южный мамбетостан никогда не был частью РИ, в отличие от северного с его Павлодарами и прочей. Поэтому обрусения там не проводилось, и всё осталось как есть, даже при совке туда особо не лезли.
Пропустил ваши диалоги, через спецпрограмму.
ВОТ РЕЗУЛЬТАТ:
ВСЕ УЧАСТНИКИ ОБСУЖДЕНИЯ ЯВЛЯЮТСЯ ЧЛЕНАМИ ДОБРОВОЛЬЧЕСКОГО УКРАИНСКОГО ОБЪЕДИНЕНИЯ <<CYBERSOTNYA>> РАБОТАЮЩИХ ПОД РУССКИХ НАЦИОНАЛИСТОВ.
Спасибо говори тем, кто незаконно развалил союз и мог так же незаконнт отменить все т. н. подарки. Но они этого не сделали, потому что, ой, капиталу выгодно деление и дробление, а так же культивация национализма, вот получи и распишись, холуй капитальский.
Спасибо, анон.
>тракторнуться в нормальную страну.
Над этим сейчас и работаю. Готовился в ШАД в следующем году, но насущный вопрос заставил принять оффер на 60 часов в неделю, так что ШАД, видимо, откладывается на 2022, побуду пока простым инфраструктурщиком, заодно денег на сычевание накоплю.