Что такое сертификат CA и как он работает?
Недавно правительство Казахстана временно вынудило граждан установить Центр сертификации (ЦС), который позволил государству дешифровать весь контент и сообщения при атаке «человек посередине»..
Сертификат даже позволил правительству изменять данные и обманывать пользователей, заставляя их запускать и загружать вирусы и шпионское ПО. Инициатива казахстанского правительства, возможно, пока не удалась, но угроза реальна.
Contents
Центры сертификации объяснили
Центр сертификации проверяет, что веб-сайт – это то, что он говорит, когда шифрует данные между своими серверами и вами. ЦС подпишет сертификат шифрования веб-сайта, который предоставляется пользователю каждый раз при открытии веб-сайта..
Поставщики браузеров и операционных систем не могут самостоятельно подтвердить право собственности на все веб-сайты, поэтому они передают это нескольким доверенным центрам сертификации. Все центры сертификации должны иметь процессы и проверки, чтобы сертификаты выдавались только законному владельцу домена..
Например, посещая веб-сайт вашего банка, вы хотите быть уверенным, что действительно используете веб-сайт своего банка, а не самозванца. Таким образом, ваш браузер проверит, что сертификат, представленный веб-сайтом, выпущен доверенным центром сертификации, тем самым сформировав «цепочку доверия», подтверждающую, что вы действительно используете правильный сайт..
В прошлом было несколько случаев, когда поставщики браузеров и ОС отбирали права у ЦС, потому что они оказались некомпетентными или злонамеренными при выдаче сертификатов. Если центр сертификации подписывает запросы для других, таких как государства или хакеры, система не работает.
Ваш компьютер поставляется с предварительно установленным набором центров сертификации, в то время как Firefox использует собственный список, проверенный его собственными экспертами. Казахстан пытается включить свой вредоносный центр сертификации в Firefox, но Mozilla вежливо отказалась. CA не включен ни в один другой основной браузер, но можно добавить любой CA вручную. Разработчики браузеров знают об этой лазейке, поскольку некоторые предлагают навсегда заблокировать вредоносные CA и не позволяют пользователям устанавливать их или обходить ограничения.
Поддельный центр сертификации
Создав свой собственный центр сертификации и предоставив возможность выдавать себя за любой сайт, который он хочет, правительство Казахстана пытается обойти эту важную цепочку доверия.
Пока он контролирует поток данных, он может представлять любой сервер как «законный» и использовать его для фишинга ваших учетных данных. Например, действующий сертификат twitter.com подтверждает, что вы действительно подключены к Twitter и что безопасно вводить имя пользователя и пароль. Однако, если ваш компьютер доверяет поддельному ЦС, кто-то другой может направить ваше соединение на свой собственный сервер, выдавая себя за Twitter.
Что такое сертификат HTTPS??
Протокол передачи гипертекста Secure (HTTPS) – это протокол, используемый для шифрования веб-сайтов. Когда вы переходите на веб-сайт, поддерживающий HTTPS (в настоящее время большинство всех сайтов), между вашим устройством и сервером веб-сайта устанавливается зашифрованный канал, чтобы никто из промежуточных пользователей не мог прочитать ваши пароли или конфиденциальную информацию. Эта мера безопасности часто обозначается блокировкой в адресной строке браузера..
Чтобы убедиться, что ваш компьютер подключен к веб-сайту реального банка, а не клону, сертификат HTTPS подписан центром сертификации. Когда вы переходите на сайт, сервер предоставляет электронную подпись, показывающую, что орган власти подтвердил, что он принадлежит веб-сайту, который вы пытаетесь посетить..
Поскольку HTTPS очень надежен, когда не подрывается, подавляющее большинство веб-сайтов и приложений полагаются исключительно на безопасность, обеспечиваемую HTTPS, для обеспечения безопасности данных при передаче..
Шифрование работает
Такое простое шифрование, как HTTPS, может оказать глубокое влияние на безопасность и конфиденциальность в Интернете, поэтому авторитарные режимы подвержены его атакам..
Особенно в государствах с ненадежными правовыми системами и отсутствием ответственности перед властью, мы не можем доверять правительствам доступ к нашим личным данным. Как показывают бесчисленные примеры, личная информация (такая как информация о кредитных картах и личные сообщения) попадет в руки региональных отделов, а затем отдельных должностных лиц и в конечном итоге в организованную преступность, где она угрожает стабильности общества..
17.04.2023 @ 18:13
Unfortunately, the recent actions of the Kazakhstani government to temporarily force citizens to install a Certification Center (CC) is a serious threat to online security and privacy. The CC allows the government to decrypt all content and messages during a “man-in-the-middle” attack, and even manipulate data and deceive users by forcing them to download viruses and spyware. While the initiative may not have succeeded, the danger is real. It is important to understand the role of certification centers in verifying the authenticity of websites and protecting users from phishing attacks. HTTPS is a secure protocol used to encrypt websites and protect sensitive information, and the use of trusted certification centers is crucial in ensuring the security of online transactions. It is concerning that the Kazakhstani government attempted to create a fake certification center to bypass this important chain of trust, and it is important for users to be aware of the risks and take steps to protect their online security and privacy.