В соответствии с действующими в Казахстане с 2016 года поправками (https://www.opennet.ru/opennews/art.shtml?num=43442) в закон «О связи», многие казахские провайдеры, включая Kcell (https://www.kcell.kz/ru/product/3585/658),
Beeline (https://www.beeline.kz/almatinskaya-obl/about/press-center/p.../), Tele2 (https://i.imgur.com/WyKjOug.jpg) и Altel (https://altel.kz/about/news/detail.php?ID=942&month=07&year=...), ввели в строй (https://bugzilla.mozilla.org/show_bug.cgi?id=1567114) системы перехвата HTTPS-трафика клиентов с подменой используемого сертификата. Как обычно перехват осуществляется под видом заботы о безопасности пользователей и желания оградить их от предоставляющего угрозу контента.
Для отключения вывода в браузерах предупреждения о применении некорректного сертификата пользователям предписано (https://altel.kz/about/news/detail.php?ID=942&month=07&year=...) установить на свои системы "национальный сертификат безопасности (https://qca.kz)", который применяется при трансляции защищенного трафика к зарубежным сайтам (например, уже фиксируется подмена трафика к Facebook).
При установке TLS-соединения реальный сертификат целевого сайта подменяется сгенерированным на лету новым сертификатом, который будет помечен браузером как достоверный, если "национальный сертификат безопасности" был добавлен пользователем в хранилище корневых сертификатов, так как подставной сертификат связан цепочкой доверия с "национальным сертификатом безопасности". По сути в Казахстане полностью скомпрометирована предоставляемая протоколом HTTPS защита и все HTTPS запросы с позиции возможности отслеживания и подмены трафика спецслужбами мало чем отличаются от HTTP. Проконтролировать злоупотребления в такой схеме невозможно, в том числе при попадании связанных с "национальный сертификат безопасности" ключей шифрования в другие руки в результате утечки.
URL: https://bugzilla.mozilla.org/show_bug.cgi?id=1567114
Новость: https://www.opennet.ru/opennews/art.shtml?num=51123
