Google и Mozilla заявили, что примут меры для защиты пользователей Казахстана от слежки за ними со стороны властей. Обе компании будут блокировать национальный сертификат безопасности, представленный правительством страны в июле.
Специальный корневой сертификат Qaznet позволяет перехватывать и расшифровывать HTTPS-трафик тех пользователей, которые его установили.
Телеком-провайдеры Казахстана начали уведомлять своих клиентов о необходимости установить этот сертификат на абонентские устройства в июле. В противном случае они могут потерять доступ к интернету.
Это нововведение якобы было призвано защитить пользователей от киберугроз и противоправного контента. При этом эксперты отрасли считают, что таким образом правительство Казахстана хотело установить слежку за гражданами на государственном уровне.
Как показало исследование Censored Planet, сертификат позволял казахскому правительству проводить атаки типа «человек посередине», перехватывая HTTPS-трафик по 37 доменам, включая Facebook, Twitter, Google и др. Обычно HTTPS-сайты защищены таким образом, что государственные органы не могут получить к ним доступ. Однако MitM-атака разрывает защищённое соединение, позволяя властям свободно следить за интернет-активностью пользователей.
Теперь браузеры Chrome и Firefox будут блокировать вредоносный сертификат ещё до того, как пользователь его скачает.
Что касается установленных сертификатов, то Firefox при обнаружении корневого сертификата Qaznet будет блокировать соединение и выдавать сообщение об ошибке. Chrome также будет его блокировать.
При этом стоит отметить, что по данным Reuters, около двух недель назад правительство Казахстана перестало требовать от пользователей установки указанного сертификата, в связи с чем инициатива Mozilla и Google может показаться несколько запоздалой.
Группа казахских юристов подала в суд на трёх мобильных операторов за ограничение доступа к интернету после отказа пользователей установить сертификат. В ответ Комитет государственной безопасности Казахстана заявил, что запуск сертификата представлял собой «тест», который уже завершён.
В комментарии Engadget представитель Mozilla подтвердил, что компания в курсе этой информации. Однако те пользователи, что установили сертификат, могут быть по-прежнему уязвимы. Поэтому и были приняты меры по их защите.
Он также отметил, что Mozilla продолжит следить за действиями правительства Казахстана и готова предпринять необходимые меры, если подобные сертификаты будут выпущены в будущем.
