LINUX.ORG.RU

В Казахстане обязали устанавливать государственный сертификат для MITM

 , ,

В Казахстане обязали устанавливать государственный сертификат для MITM

9

5

В Казахстане операторы связи разослали пользователям сообщения о необходимости установки выпущенного государственными органами сертификатом безопасности.

Без установки интернет работать не будет.

Следует помнить, что сертификат не только влияет на то, что государственные органы смогут читать зашифрованный трафик, но и на то, что от лица любого пользователя можно будет написать что угодно.

В Mozilla уже завели баг, в котором обсуждают необходимость заблокировать этот сертификат, чтобы не создавать прецедентов и не разрушать столь долго производимый тотальный перевод на HTTPS.

Всё это подается под соусом защиты пользователей от хакерских атак.

Одной из особенности акции является то, что сертификат для скачивания находится на http-сайте, что позволяет подменить его при определенных условиях.

UPD: «Сертификат безопасности» в Казахстане отменяется

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Последнее исправление: Deleted (всего исправлений: 4)
Ответ на: комментарий от ados

А можно в духе славного советского «догнать и перегнать» вкатиться в квантовые компьютеры, которые, как говорят, щёлкают эту вашу криптографию как орешки.

Доааа, особенно квантостойкую крипту :)))

Шифровальщеги то чай тоже ни дремлюд.

anonymous
()
Ответ на: комментарий от kirk_johnson

Не, ну это я понял, сорян затупил по рут серты. Но еще раз, туннель с сертом вне общих корней они не прошибут.

Serbis
()
Ответ на: комментарий от Serbis

Прошибут, если только у твоего клиента не прописана ассоциация с key fingerprint. Потому что браузер доверяет всем ca одинаково.

kirk_johnson ★☆
()

Мне такой смски не приходило. Сертификат не устанавливал, да и в списке сертификатов его тоже нет. Браузер не «ругается» на соединение. Есть две симки от билайна и алтела.

Deleted
()

Я так и представляю внезапно свалившееся щасте на казахских ФСБшников (или как у них оно там зовётся):

можно лазать в любой аккаунт любого онлайн-банкинга и делать там что угодно.

Честно говоря, на месте Грефа я бы закрыл сбербанконлайн для казахских IPшников.

slamd64 ★★★★★
()
Последнее исправление: slamd64 (всего исправлений: 2)
Ответ на: комментарий от kirk_johnson

Не ну как. Вот я у меня есть сервер в германии. На нем стоит OpenVpn, я под него сам лично создал корневой CA, от него наплодил дочерних и поставил на свои железяки. И хожу везде через vpn туннель по этому конкретному серту. Как они увидят что в моем туннеле, если его сертификат не принадлежит к общему корню?

Serbis
()
Ответ на: комментарий от Serbis

Думаю, никак. Скорее всего, фильтруют они 443-й порт, а не все возможные.

И уж тем более, не IPv6 :)

slamd64 ★★★★★
()
Ответ на: комментарий от anonymous

даже в Китае Tor работает

Тебе это кто-то сказал или личный опыт?
Мой личный опыт (примерно 5 летней давности) говорит, что там банили всё, включая bridges

record ★★★★★
()

Супер. Даёшь защиту потребителя во все щели этого пользователя! В резиновую комнату каждого индивида!!!

ChekPuk ★★★
()
Ответ на: комментарий от Deleted

Просто Медуза открыла филиал на лоре, а местные хперты и им сочувствующие мигом подтянулись к кормушке. Ждите, скоро желтую тему на лор завезут.

anonymous
()

В общем, шумиха на ровном месте, сертификат есть да никто не ставит, он носит сугубо рекомендательный характер. Проверяйте сведения прежде чем новости клепать :D

Deleted
()
Ответ на: комментарий от kirk_johnson

Так кто же в здравом уме делает неугодные власти вещи в сети вне vpn туннеля? Это же самый первый уровень информационный гигиены - увести трафик в другое государство и так что по территории твоего он прошел в зашифрованном виде!

Serbis
()
Ответ на: комментарий от anonymous

квантостойкую крипту

А вот такие интересные слова запретить

ados ★★★★★
()
Ответ на: комментарий от anonymous

Перейти на проверочный сайт check.qca.kz (на который мозиллка не пускает, бгг)

Deleted
()
Ответ на: комментарий от Deleted

В общем, шумиха на ровном месте, сертификат есть да никто не ставит, он носит сугубо рекомендательный характер. Проверяйте сведения прежде чем новости клепать :D

Наконец-то первый здравый пост. Отдельным абонентам одного оператора в столице пришла смс-рекомендация про установку сертификата, иначе будут проблемы доступа к отдельным ресурсам.

В новости же паника про конец света. За такое по шее надо.

sena ★★
()

Всё это подается под соусом защиты пользователей от хакерских атак.

Ничего не понял, каких ещё атак?

Тебе может и словосочетания боевые пацифисты, непьющие алкоголики, слепые снайперы слух не коробят?

anonymous
()

Хм... Я разговаривал со своей подругой, она в Караганде живет, ей ещё не чего такого не прилетало.

anonymous
()
Ответ на: комментарий от deadplace

Интересно, VPN там не заблочили?

А как? Если брать openvpn, то при правильной настройке его будет невозможно определить. Единственное конечно придется пожертвовать скоростью из-за коррекции mtu, но если если встряло, то это не такая уж и проблема.

Serbis
()

Зачем вообще нормальному человеку жить в стране, название которой заканчивается на "-стан"?

buddhist ★★★★★
()

Следует помнить, что сертификат не только влияет на то, что государственные органы смогут читать зашифрованный трафик, но и на то, что от лица любого пользователя можно будет написать что угодно.

Каким образом?

annulen ★★★★★
()
Ответ на: комментарий от Shaman007

Поправлю - немного не так. Строить заборы в условиях ху^W плохих альтернатив или их отсутствия - вот это бесперспективно.

Pinkbyte ★★★★★
()
Ответ на: комментарий от sena

В СООТВЕТСТВИИ С ЗАКОНОМ ВАМ НЕОБХОДИМО
рекомендация

В лучших традициях «добровольно-принудительных священных обязанностей»?

http://www.themoreyounerd.com/blog/wp-content/uploads/2014/10/futuramafry.jpg

Im_not_a_robot ★★★★★
()
Последнее исправление: Im_not_a_robot (всего исправлений: 1)
Ответ на: комментарий от Alve

значит и обход этого дела изобретут скоро, какой-нибудь HTTPS over что-то там

Туннели через ICMP уже давно известны

annulen ★★★★★
()

ну в общем-то вот и вся «безопасность» https с его «сертификатами».

давайте уже нормальный защищённый интернет, а хттпс казахстан может себе оставить.

anonymous
()
Ответ на: комментарий от buddhist

Зачем вообще нормальному человеку жить в стране, название которой заканчивается на «-стан»?

Его там родили, например.

Im_not_a_robot ★★★★★
()
Ответ на: комментарий от deadplace

Другое дело что могут запретит вообще любой зашифрованный трафик который госы не могут просмотреть. Вот тогда будет беда. Т е будут анализировать трафик, если в нем нету паттернов осмысленного кодирования, то рубить буду сразу канал. Но это конечно уже будет вопросом персональной национальной безопасности так сказать)

Serbis
()
Ответ на: комментарий от Serbis

если трафик действительно зашифрован, то он не отличим от шума. т.е. зашифрованный трафик может выглядеть как что угодно, например изображение с шумом. его нельзя запретить потому что его нельзя классифицировать как зашифрованный трафик.

anonymous
()
Ответ на: комментарий от anonymous

Да можно, просто по паттернам. В любом не зашифрованном трафике есть осмысленные данные - http заголовки, сигнатуры пакетов, дынные кодирования и пр. Просто будет рубить любое соединние, которок скажем на 1мб трафика не содержало ни одного паттерна. Но опять же и против этой проблемы есть лом. Ничего не мешает в канал вместе с зашифрованными данными пихать какие-то осмысленные, но ничего не значащие. Тогда и этот метод будет бесполезен.

Serbis
()

KAZAKHSTAN IS THE BEST COUNTRY IN THE WORLD

ALL OTHER COUNTRIES ARE RUN BY LITTLE GIRLS

Singularity ★★★★★
()
Ответ на: комментарий от anonymous

Tor работает, но очень плохо. И VPN работают, но очень плохо. И есть предположение что это намеренная политика. Если что-то работает, но плохо, то меньше шансов что ты будешь искать\делать альтернативу. И массово этим пользоваться все ровно не будут, а это же основная цель этого всего.

nikita-b
()
Ответ на: комментарий от Pinkbyte

В Китае их строили как раз во времена отсутствия альтернатив. B во многом потому они и появились. Это конечно не единственная причина, но одна из.

nikita-b
()
Ответ на: комментарий от nikita-b

Ну так это разумно. Нет смысла добиваться 100% результата, 99% достаточно. В РФ и UK даже простейшие «блокировки» по DNS работают наотличненько. Я сам добавил *.wp.com в список «через Tor» только когда действительно интересная статья нужна была, до этого долгое время просто закрывал таб :)

anonymous
()
Ответ на: комментарий от NonameKiriLL

Не спеши ждать, сейчас никому не нужна ещё одна красная тряпка для неспокойного общества.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.