schors
Сейчас будет сложный текст про SSL, HTTPS и вот это всё. И про Казахстан.
☝️ Как работает HTTPS. Есть понятия ключей шифрования (публичный и секретный ключ) и сертификата SSL (сертификат x509). В шифровании всегда участвует именно ключ (точнее пара — публичный/приватный). Сертификат только описывает ключ, содержит дополнительные данные и реализует иерархическую связку. Я дальше буду всегда иметь пару ключ/сертификат или их по отдельности, называя это одним словом «сертификат». Сертификат имеет пару важных полей: собственное название (subject) и кто «выпустил» (issuer). За счет этой пары полей возможно построить дерево сертификатов, корнем которого будет сертификат, выпустивший сам себя, т. е. поля subject и issuer будут равны. Сертификат имеет признак, может он подписывать другие сертификаты или нет. Соответственно конечным сайтам выдаются сертификаты, которые являются конечными и не могут подписывать дальше.
☝️ Когда браузер устанавливает защищенное соединение с сайтом, тот выдаёт в ответ сертификат, в котором в том числе содержится доменное имя, для которого выдан этот сертификат., и всю цепочку сертификатов до корневого (так называемый bundle). В браузер вшит список корневых сертификатов, которым он доверяет. Поэтому браузер может сказать — честный конечный сертификат сайта, или нет. Если кто-то подставил сертификат, цепочка подписи которого не может быть проверена браузером — браузер выдаёт предупреждение или вообще не загружает контент. Производители браузеров между собой договорились и достаточно давно диктуют всем в мире примерно единообразный список корневых сертификатов. Организации, выпускающие сертификаты, попавшие в такой список, подчиняются установленным правилам, процедурам и проверкам. Вот на такой доверительной основе строится вся защита. Да, возможно у спецслужб разных стран тайно есть сертификаты, подписывающие какие-то домены и они могут заниматься прослушкой и делать «обманные сайтами». Поэтому часто говорят о важности дополнительной защиты и поверки через DNSSEC, например.
⚠️ В Казахстане с 2017 года существует закон, обязывающий устанавливать в браузер, отсутствующий в стандартном списке, государственный сертификат. Первая попытка внедрить его как-то очень быстро «стухла» и дальше деклараций не ушла.
‼️ В середине июля 2019 года внезапно в столице Казахстана провайдеры начали массово принуждать пользователей устанавливать государственный сертификат, пропуская трафик через фильтр. На второй день примерно 70 тыс человек установило сертификат. Сколько установило за 2 недели — очень известно. Было очень много «нареканий» от госкомпаний, и их дочерних компаний.
⚔️ ЦАРКА (Центр анализа и расследований кибератак — организация, которая оказывает услуги по инфобезу госструктурам), провели переговоры с госорганами (открыто в закрытом режиме) и договорились, что таки сертификат «казах-по-середине», это как-то вот совсем перебор: https://t.me/zatelecom/10985
👎 06 августа 2019 Касым-Жомарт Токаев (главный в Казахстане) заявил что:
«КНБ по моему поручению провел тестирование сертификата безопасности в рамках программы Киберщит. Доказана защищенность информационного пространства РК и возможность использования сертификата только в случаях вторжения извне. Неудобств пользователям интернета нет. Благодарю КНБ»
https://twitter.com/Tokayev.../1158783591444373505
✅ Попытка №2. НЕ ПРОКАТИЛО
