哈薩克斯坦政府實行的中間人攻擊
哈薩克斯坦政府實行的中間人攻擊是指哈萨克斯坦政府通过頒發并劝诱用户安装其颁发的網絡根证书从而解密HTTPS加密流量,發動中间人攻击的事件,自2015年到2020年发生了三次。由于浏览器厂商的抵制,这些尝试未能达到目的。
背景
根证书是HTTPS加密连接的基石,网络浏览器会内置一个可信根证书列表,用于检查某网站的身份和验证加密流量的TLS证书。由于根证书的密钥由可信的第三方证书颁发机构保存,中间人不大可能解密用户的加密流量。然而,如果某国政府要求所有用户安装其颁发的根证书,那么安裝了其證書的用戶,在使用互聯網時,發送的流量可能會被证书颁发者攔截、解密,该国政府从而可以获得加密连接中用户的信息。
VentureBeat网站认为,哈萨克斯坦政府最初針對的目标可能是Google、Facebook和Twitter等網站。[1]
时间线
2015年的第一次尝试中,政府表示該證書是「國家安全證書」。[2][3]
2019年7月,哈萨克斯坦的網絡供應商开始向其用户发送有關網絡證書的消息,並把该证书称为Qaznet Trust Certificate,[4]該證書由国家证书颁发机构Qaznet Trust Network颁发,所有用户都要安装。[5][6][7]这是哈萨克斯坦政府第二次尝试签发根证书。
2019年8月21日,Mozilla公司和Google公司同时宣布,Firefox瀏覽器和Google Chrome将不會接受這張由哈萨克斯坦政府颁发的证书,即使用户手动安装也依然不會接受。[8][9]蘋果公司宣布Safari浏览器也會进行类似的措施。[1][10]截至2019年8月[update],微软迄今尚未对其浏览器採取任何措施,但重申该政府颁发的证书不在旗下浏览器的受信任根存储中,除非用户手动安装,否则不会产生任何影响。[11]
2020年12月,哈萨克斯坦政府第三次尝试引入政府颁发的根证书。[12]各瀏覽器生產商再次宣布,他们不會讓这类证书在浏览器中生效。[13]
参考
- ^ 1.0 1.1 Paris, Martine. Google and Mozilla block Kazakhstan root CA certificate from Chrome and Firefox. VentureBeat. 2019-08-21 [2019-08-21]. (原始内容存档于2022-04-04) (美国英语).
- ^ Nurmakov, Adil. Experts Concerned Kazakhstan Plans to Monitor Users' Encrypted Traffic. Digital Report. 2015-12-05 [2019-07-18]. (原始内容存档于2015-12-05) (ru-RU).
- ^ Nichols, Shaun. Is Kazakhstan about to man-in-the-middle diddle all of its internet traffic with dodgy root certs?. www.theregister.co.uk. 3 Dec 2015 [2019-07-18]. (原始内容存档于2019-12-28) (英语).
- ^ Kazakh government will intercept the nation’s HTTPS traffic. IT PRO. [2019-08-21] (英语).
- ^ MITM on all HTTPS traffic in Kazakhstan | Hacker News. news.ycombinator.com. [2019-07-18]. (原始内容存档于2022-01-09).
- ^ Afifi-Sabet, Keumars. Kazakh government will intercept the nation’s HTTPS traffic. IT PRO. 19 July 2019 [2019-07-19] (英语).
- ^ Raman, Ram Sundara. Kazakhstan's HTTPS Interception. censoredplanet.org. University of Michigan. July 23, 2019 [2019-08-21]. (原始内容存档于2022-03-15).
- ^ Thayer, Wayne. Protecting our Users in Kazakhstan. Mozilla Security Blog. 2019-08-21 [2019-08-21]. (原始内容存档于2022-04-03) (美国英语).
- ^ Whalley, Andrew. Protecting Chrome users in Kazakhstan. Google Online Security Blog. 2019-08-21 [2019-08-21]. (原始内容存档于2022-04-05) (英语).
- ^ Paris, Martine (2019-08-21). "Google and Mozilla block Kazakhstan root CA certificate from Chrome and Firefox" (页面存档备份,存于互联网档案馆). VentureBeat. Retrieved 2019-08-21.
- ^ Brodkin, Jon. Google, Apple, and Mozilla block Kazakhstan government’s browser spying. Ars Technica. 2019-08-21 [2019-08-22]. (原始内容存档于2022-04-07) (美国英语).
- ^ Cimpanu, Catalin. Kazakhstan government is intercepting HTTPS traffic in its capital. ZDNet. [2020-12-18]. (原始内容存档于2020-12-06) (英语).
- ^ Moon, Mariella. Tech giants will block Kazakhstan's web surveillance efforts again. Engadget. 2020-12-18 [2020-12-18]. (原始内容存档于2022-04-08) (英语).