哈薩克政府實行的中間人攻擊
哈薩克政府實行的中間人攻擊是指哈薩克政府通過頒發並勸誘使用者安裝其頒發的網路根憑證從而解密HTTPS加密流量,發動中間人攻擊的事件,自2015年到2020年發生了三次。由於瀏覽器廠商的抵制,這些嘗試未能達到目的。
背景
根憑證是HTTPS加密連接的基石,網路瀏覽器會內建一個可信根憑證列表,用於檢查某網站的身分和驗證加密流量的TLS憑證。由於根憑證的金鑰由可信的第三方憑證頒發機構儲存,中間人不大可能解密使用者的加密流量。然而,如果某國政府要求所有使用者安裝其頒發的根憑證,那麼安裝了其憑證的使用者,在使用網際網路時,傳送的流量可能會被憑證頒發者攔截、解密,該國政府從而可以獲得加密連接中使用者的資訊。
VentureBeat網站認為,哈薩克政府最初針對的目標可能是Google、Facebook和Twitter等網站。[1]
時間線
2015年的第一次嘗試中,政府表示該憑證是「國家安全憑證」。[2][3]
2019年7月,哈薩克的網路供應商開始向其使用者傳送有關網路憑證的訊息,並把該憑證稱為Qaznet Trust Certificate,[4]該憑證由國家憑證頒發機構Qaznet Trust Network頒發,所有使用者都要安裝。[5][6][7]這是哈薩克政府第二次嘗試簽發根憑證。
2019年8月21日,Mozilla公司和Google公司同時宣布,Firefox瀏覽器和Google Chrome將不會接受這張由哈薩克政府頒發的憑證,即使使用者手動安裝也依然不會接受。[8][9]蘋果公司宣布Safari瀏覽器也會進行類似的措施。[1][10]截至2019年8月[update],微軟迄今尚未對其瀏覽器採取任何措施,但重申該政府頒發的憑證不在旗下瀏覽器的受信任根儲存中,除非使用者手動安裝,否則不會產生任何影響。[11]
2020年12月,哈薩克政府第三次嘗試引入政府頒發的根憑證。[12]各瀏覽器生產商再次宣布,他們不會讓這類憑證在瀏覽器中生效。[13]
參考
- ^ 1.0 1.1 Paris, Martine. Google and Mozilla block Kazakhstan root CA certificate from Chrome and Firefox. VentureBeat. 2019-08-21 [2019-08-21]. (原始內容存檔於2022-04-04) (美國英語).
- ^ Nurmakov, Adil. Experts Concerned Kazakhstan Plans to Monitor Users' Encrypted Traffic. Digital Report. 2015-12-05 [2019-07-18]. (原始內容存檔於2015-12-05) (ru-RU).
- ^ Nichols, Shaun. Is Kazakhstan about to man-in-the-middle diddle all of its internet traffic with dodgy root certs?. www.theregister.co.uk. 3 Dec 2015 [2019-07-18]. (原始內容存檔於2019-12-28) (英語).
- ^ Kazakh government will intercept the nation’s HTTPS traffic. IT PRO. [2019-08-21] (英語).
- ^ MITM on all HTTPS traffic in Kazakhstan | Hacker News. news.ycombinator.com. [2019-07-18]. (原始內容存檔於2022-01-09).
- ^ Afifi-Sabet, Keumars. Kazakh government will intercept the nation’s HTTPS traffic. IT PRO. 19 July 2019 [2019-07-19] (英語).
- ^ Raman, Ram Sundara. Kazakhstan's HTTPS Interception. censoredplanet.org. University of Michigan. July 23, 2019 [2019-08-21]. (原始內容存檔於2022-03-15).
- ^ Thayer, Wayne. Protecting our Users in Kazakhstan. Mozilla Security Blog. 2019-08-21 [2019-08-21]. (原始內容存檔於2022-04-03) (美國英語).
- ^ Whalley, Andrew. Protecting Chrome users in Kazakhstan. Google Online Security Blog. 2019-08-21 [2019-08-21]. (原始內容存檔於2022-04-05) (英語).
- ^ Paris, Martine (2019-08-21). "Google and Mozilla block Kazakhstan root CA certificate from Chrome and Firefox" (頁面存檔備份,存於網際網路檔案館). VentureBeat. Retrieved 2019-08-21.
- ^ Brodkin, Jon. Google, Apple, and Mozilla block Kazakhstan government’s browser spying. Ars Technica. 2019-08-21 [2019-08-22]. (原始內容存檔於2022-04-07) (美國英語).
- ^ Cimpanu, Catalin. Kazakhstan government is intercepting HTTPS traffic in its capital. ZDNet. [2020-12-18]. (原始內容存檔於2020-12-06) (英語).
- ^ Moon, Mariella. Tech giants will block Kazakhstan's web surveillance efforts again. Engadget. 2020-12-18 [2020-12-18]. (原始內容存檔於2022-04-08) (英語).