谷歌、Mozilla、苹果屏蔽哈萨克斯坦的根CA证书以防止间谍活动

从今天开始，哈萨克斯坦的Chrome、Safari和Firefox用户将看到一条错误消息，指出信任网络“当试图访问以政府颁发的证书响应的网站时，不应信任证书。

正如《黑客新闻》上个月报道的那样，所有主要的哈萨克斯坦互联网服务提供商（ISP）都在强迫其客户在其设备上安装政府颁发的根证书，以便重新获得对其互联网服务的访问。
如果安装了被标记为“受信任证书”或“国家安全证书”的根证书，ISP可以拦截、监视和解密用户加密的HTTPS和TLS连接，帮助政府监视其1800万人并审查其内容。

一旦安装，该证书允许哈萨克斯坦政府解密和读取用户访问热门网站的任何内容—；Facebook、Twitter和谷歌等—；类型或帖子，包括拦截其帐户信息和密码。

Mozilla在今天发布的一篇博文中解释说：“当哈萨克斯坦的用户安装ISP提供的根证书时，他们选择信任一个CA，该CA不必遵守任何规则，可以为任何人的任何网站颁发证书”。

“这可以拦截和解密Firefox和网站之间的网络通信，有时被称为中间怪物（MITM）攻击”。

安装自定义根CA证书不仅可以让政府监视公民的在线活动，还让他们面临社会工程攻击的风险，黑客有机会诱骗用户安装来自非官方网站和来源的恶意根证书。

在面临世界范围的批评后，哈萨克斯坦政府称首次推出该证书是为了监测网络威胁，然后放弃了拦截公民互联网流量的计划。

Chrome高级工程总监帕丽萨·塔布里兹（Parisa Tabriz）表示：“我们绝不容忍任何组织、政府或其他机构试图破坏Chrome用户的数据。我们已经实施了针对这一特定问题的保护措施，并将始终采取行动保护全世界用户的安全”。

谷歌表示：“用户无需采取任何行动就可以得到保护。此外，该证书将被添加到Chromium源代码的阻止列表中，因此应在适当的时候包含在其他基于Chromium的浏览器中”。

尽管苹果尚未发布任何博客帖子，但该公司的一名发言人联系了黑客新闻，确认其Safari网络浏览器也阻止了哈萨克斯坦政府颁发的根CA证书。

“苹果认为隐私是一项基本人权，我们从一开始就设计每一款苹果产品，以保护个人信息。我们已采取行动，确保Safari不信任该证书，并保护我们的用户免受此问题的影响，”苹果发言人通过电子邮件告诉《黑客新闻》。

这不是哈萨克斯坦政府第一次拦截其公民的互联网流量。

2015年，政府试图将根证书包含在Mozilla的受信任根存储计划中，但该公司在发现哈萨克斯坦政府打算使用该证书拦截用户数据后立即拒绝了该请求。

谷歌和Mozilla都鼓励您从设备上删除哈萨克斯坦政府根证书（如果您已经安装了），并立即更改每个在线帐户的密码。