Регистрация
21 августа 2019 в 13:52

Браузеры Chrome и Firefox поместили государственный сертификат Казахстана в отозванные

    Сегодня, с некоторым опозданием (уже после так называемого тестирования), разработчики Google Chrome в своем security-блоге (пост) опубликовали информацию, что в рамках защиты пользователей Казахстана национальный сертификат добавлен в CRLSets (набор аннулированных сертификатов).



    А что у Mozilla Firefox (по следам вопроса @Meklon в коментариях)?

    Инициативы придерживается и Mozilla Firefox (ссылка):


    В целях защиты наших пользователей Firefox вместе с Chrome заблокирует использование корневого сертификата центра сертификации в Казахстане. Это означает, что Firefox не будет доверять ему, даже если он установлен пользователем. Мы считаем, что это адекватный ответ, так как пользователям в Казахстане не предложен разумный выбор, устанавливать ли сертификат, и так как эта атака подрывает целостность важного механизма безопасности сети. При попытке получить доступ к сайту, который отвечает с помощью этого сертификата, пользователи Firefox увидят сообщение об ошибке, в котором сообщается, что сертификату не следует доверять.

    Заблокирован следующий сертификат:


    Поле Значение
    Common Name Qaznet Trust Network
    SHA-256 Fingerprint 00:30:9C:73:6D:D6:61:DA:6F:1E:B2:41:73:AA:84:99:44:C1:68:A4:3A:15:BF:FD:19:2E:EC:FD:B6:F8:DB:D2
    SHA-256 of Subject Public Key Info B5:BA:8D:D7:F8:95:64:C2:88:9D:3D:64:53:C8:49:98:C7:78:24:91:9B:64:EA:08:35:AA:62:98:65:91:BE:50

    Добавление сертификата в аннулированные технически обусловлено тем, что браузер Chrome при создании защищенных подключений доверяет сертификатам, которые локально установлены на компьютере (или мобильном устройстве) пользователя.


    Этим шагом Chrome, наряду с другими браузерами, предпринял шаги для защиты пользователей от перехвата или изменения TLS-соединений с веб-сайтами.


    Кроме того, сертификат будет добавлен в черный список в исходном коде Chromium. Следовательно, это изменение будет включено и в другие продукты, основанные на Chromium.

    Теги:
    Хабы:
    Реклама
    Ой, у вас баннер убежал!

    Ну. И что?

    Похожие публикации

    Реклама
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее

    Комментарии 20

      –11
      Вот это поворот, вор у вора пытается украсть?
        +4

        Кто, что и у кого пытается украсть? Кто главные герои вашего комментария и каков объект кражи?

          –8
          Свободу выбора
            +4
            Ваша «свобода» (свобода наступить в горшок с дерьмом вкорячить себе казаха-по-середине) угрожает моей — моё правительство, поглядев на успешный опыт соседа, может попытаться провернуть такой же финт ушами.

            Теперь же, вдобавок к проблемам установки сертификата (не во весь софт его так просто запихнуть), будут и проблемы отключения обновлений браузера (в новых версиях браузеров этот сертификат в чёрном списке изначально) + отключения обновления чёрного списка, что ещё больше увкличивает число тех, кто не осилит = число недовольных граждан. Большая ошибка недооценить недовольство, например, родителей, ребёнок которых требует «Машу и медведя» и прочих «свинок Пепп», а ютубчик не работает из-за дуболомов в правительстве. Это прекрасный способ настроить против себя даже ту часть населения, которая далека от политики.
        +2
        Отлично. Firefox молчит?
          +2

          https://blog.mozilla.org/security/%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B0-%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D1%82%D0%B5%D0%BB%D0%B5%D0%B9-%D0%BD%D0%B0-%D1%82%D0%B5%D1%80%D1%80%D0%B8%D1%82%D0%BE%D1%80%D0%B8%D0%B8-%D0%BA/


          В целях защиты наших пользователей Firefox вместе с Chrome заблокирует использование корневого сертификата центра сертификации в Казахстане. Это означает, что Firefox не будет доверять ему, даже если он установлен пользователем. Мы считаем, что это адекватный ответ, так как пользователям в Казахстане не предложен разумный выбор, устанавливать ли сертификат, и так как эта атака подрывает целостность важного механизма безопасности сети. При попытке получить доступ к сайту, который отвечает с помощью этого сертификата, пользователи Firefox увидят сообщение об ошибке, в котором сообщается, что сертификату не следует доверять.
            +1

            Кстати, интересный момент:


            • Mozilla открыто пишет, название своего конкурента


              В целях защиты наших пользователей Firefox вместе с Chrome
              To protect our users, Firefox, together with Chrome,

            • Google не указывает конкретных других браузеров


              Chrome, along with other browsers

              +1
              Хорошо подмечено. Почему то сразу вспомнилось:
              "— Нас будет трое, из которых один раненый, и в придачу юноша, почти ребёнок, а скажут, скажут что нас было четверо."
                0

                Ты знаешь правила…
                Хотя стоп, это же хабр ;)

                • НЛО прилетело и опубликовало эту надпись здесь
                    0
                    Это из «Трёх мушкеторов» цитата)
                    Упс, не заметил предыдущего комментатора.
            0

            Я правильно понимаю, что


            1. В Казахстане весь* TLS трафик идёт через какие-то средства анализа, которые подменяют сертификат на свой
            2. Если корневой сертификат для MiM не установлен, то все* HTTPS сайты будут недоступны по причине подмены сертификата

            Следовательно


            1. После обновления Firefox/Chrome пользователи обнаружат, что HTTPS сайты* накрылись?

            Превосходный ход.


            *: может, не весь, а особо интересные сайты

              0

              С одной стороны Firefox с своем посте вносит конструктивные предложения о том, что нужно делать пользователю:


              Мы рекомендуем пользователям в Казахстане, затронутых этим изменением, рассмотреть возможность использования ПО виртуальной частной сети (VPN) или браузера Tor для доступа к Интернету. Мы также настоятельно рекомендуем всем, кто выполнил действия по установке корневого сертификата правительства Казахстана, удалить его с ваших устройств и немедленно изменить ваши пароли, используя надежный уникальный пароль для каждой из ваших учетных записей в Интернете.

              С другой стороны сейчас эксперимент со стороны правительства закончен, а браузеры просто оставили некоторую защиту от дурака (опять же подчеркну — после окончания MITM'а): мало ли кем конкретно этот сертификат может быть скомпрометирован.

                0
                Если у него стоит сертификат который отозван
                  0
                  Трафик уже не MitM-ится, поэтому следствие неверно. Если Казахстан захочет повторить эксперимент, используя этот же самый сертификат, тогда да, те ресурсы, соединение с которыми в Казахстане захотят MitM-ить, будут недоступны.
                  +1
                  Safari тоже присоединился.
                    0
                    Вот и «потестировали»…

                    Мне теперь интересно, что дальше будет. То что клептократы, узурпировшие власть в Казахстане не оставят попыток контролировать информационное пространство, в этом я не сомневаюсь.
                    Попытались «с наскока» в лоб, тупо и топорно решить эту проблему, получили по рукам, отползли… Но попыток то не оставят.

                    Доступ к интернету «централизован». И власти имеют доступ к рубильнику, с помощью которого точечно и глобально могут отключать интернет. Но это дорогое решение, ибо ИТ активно и прочно вошло в жизнь казахстанцев. Даже та же самая безналичная оплата, можно смело идти на базар без наличности. Все принимают онлайн переводы через банковское приложение по номеру телефона.

                    Другой вариант — стоить свой огороженный «чебурнет». О чем активно сейчас ведутся дискуссию в РФ, да не только ведутся, но и делается многое для этого. Где будет запрещено все, кроме того, что разрешено.

                    А тут еще Илон Маск с глобальным интернетом, и не только он один. Да, нелегко приходится клептократом, все сложнее и сложнее воровать… Не то что раньше… Будь ты проклята эта цивилизация, не дают нормально «человеку» грабить и оболванивать свой народ.

                    • НЛО прилетело и опубликовало эту надпись здесь
                        0

                        . (Отвечал не на заданный вопрос, сори)


                        А по теме, Mozilla пишет так:


                        Тем не менее, когда пользователь в Казахстане устанавливает корневой сертификат, предоставленный своим провайдером, он выбирает центр сертификации, который не обязан следовать каким-либо правилам и может выдать сертификат для любого сайта любому пользователю.

                        То есть Mozilla не доверяет этому центру сертификации, что можно интерпретировать как "компрометация" сертификата.

                      • НЛО прилетело и опубликовало эту надпись здесь

                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                        Что обсуждают

                        Самое читаемое

                        Ваш аккаунт

                        Разделы

                        Информация

                        Услуги

                        © 2006 – 2020 «Habr»
                        Настройка языка
                        О сайте
                        Служба поддержки
                        Мобильная версия