哈萨克斯坦开始强力拦截所有公民的HTTPS互联网流量

哈萨克斯坦政府再次向所有主要的当地互联网服务提供商（ISP）发布了一项建议，要求他们强制所有客户在其设备上安装政府颁发的根证书，以便重新获得互联网服务。

有问题的根证书，标记为“可信证书“或者”国家安全证书“如果安装了，允许ISP拦截和监控用户加密的HTTPS和TLS连接，帮助政府监视其公民并审查内容。

换句话说，政府实质上是在对该国的每一位居民发动“中间人”攻击。

但安装“根证书”如何允许ISP解密HTTPS连接？对于那些不知道的用户，您的设备和web浏览器会自动信任由特定证书颁发机构（CA）颁发的数字证书，这些机构在您的系统上安装了根证书。

因此，强迫互联网用户安装属于政府组织的根证书，使他们有权为他们想要通过HTTPS流量拦截的任何域生成有效的数字证书。

从今年4月开始，哈萨克斯坦互联网服务提供商开始向其用户通知“国家安全证书”，该证书将强制安装，以便继续不间断地访问“允许的”HTTPS网站列表。

现在，哈萨克斯坦主要的ISP之一Tele2终于开始将其客户的所有HTTPS连接重定向到一个包含证书文件和如何在Windows、macOS、Android和iOS设备上安装说明的网页。

其中一个最严重的安全影响我们很容易在这里发现的是—；由于用户在安装证书之前只能浏览非HTTPS站点，因此只能通过不安全的HTTP连接下载证书文件，这很容易让黑客使用MiTM攻击替换证书文件。
以下列出的其他国家ISP也计划在短期内迫使其互联网用户安装根证书，以遵守法律。

• 直线
• K细胞
• 活动（还列出了允许的HTTPS网站）
• 其他的
• 哈萨克斯坦电信

The controversial advisory has been issued with respect to amendments to the Law on Communications 2004 (the "通信法") that the Kazakhstan government passed in November 2015.

根据《安全证书颁发和应用规则》第26条第11款，所有国家通信服务提供商都有义务使用政府颁发的安全证书监控其客户的加密互联网流量。

该法律原计划于2016年1月1日生效，但哈萨克斯坦政府在一系列诉讼后未能强制当地ISP。

现在看来，哈萨克斯坦政府正在再次试图迫使修正案生效，通过破坏互联网安全协议的基本原理，将数百万公民的隐私和安全置于黑客和政府自身的风险之下。
根据互联网提供商展示的说明，这些修正案是“与哈萨克斯坦频繁发生的个人和证件数据以及银行账户资金盗窃案有关”而被迫进行的

“安全证书已经推出，将成为保护国家信息空间免受黑客、互联网欺诈者和其他类型网络威胁的有效工具，”通知写道。

“引入安全证书也将有助于保护信息系统和数据，以及在黑客和互联网欺诈者造成损害之前识别他们。”

“它还将允许哈萨克斯坦互联网用户免受黑客攻击和查看非法内容。”

从这些声明中可以明显看出，哈萨克斯坦政府希望控制公民在互联网上可以观看的内容，并将哈萨克斯坦变成一个深度监控国家。

此外，由于一半的教育比没有教育更危险，我发现ISP正在推广“自定义CA根证书安装”作为提高在线安全性的更好解决方案，这非常令人担忧。

ISP创建的页面和新闻稿中有“为什么以及如何安装政府颁发的证书”的说明，但这些页面和新闻稿并没有正确解释安装错误根证书的威胁。

它实际上让大多数公民面临社会工程攻击的风险，黑客也有机会诱骗用户安装来自非官方网站和来源的恶意根证书。

除此之外，拦截HTTPS通信还将允许ISP在用户访问的所有网页上插入广告或跟踪脚本。

目前尚不清楚各大科技公司和网络浏览器将如何应对这种新的侵犯哈萨克斯坦公民隐私的行为。我们将在获得更多信息后尽快更新该报道。