Kasakhstan blokerer al HTTPS-trafik uden statscertifikat

Illustration: Bigstock
Regering i Kasakhstan får internetudbydere til at blokere al HTTPS-trafik, som ikke krypteres med et statsudstedt certifikat. Det giver statsagenturer mulighed for at dekryptere HTTPS-trafik.

Fra 17. juli er al HTTPS-trafik i Kasakhstan blokeret, hvis ikke maskinen, som sender den, gør brug af et statsudstedt certifikat, som gør det muligt for den kasakhstanske regering at dekryptere trafikken for at kigge med.

Det skriver tech-mediet ZDNet.

Regeringen har givet internetudbydere instrukser om at blokere HTTPS-trafik, som ikke sendes med statscertifikatet. I stedet sendes internetbrugere videre til en side med instruktioner til, hvordan man installerer statscertifikatet.

Den kasakhstanske regering har tidligere søgt om at blive root-CA – rodscertifikatsautoritet – hvilket ville give dem mulighed, for at lave man-in-the-middle-angreb mod det meste af verdens krypterede webtrafik, men blev afvist.

Potentielt modtræk fra browser-verdenen

En bruger fra Kasakhstan har allerede rapporteret tilstedeværelsen af certifikatet som en bug i Mozilllas bug-tracker.

Det er ikke klart, hvad Mozilla vil gøre – om noget – men i en disksussion på Mozillas security policy-forum bliver det foreslået, at man advarer om eller blokerer certifikatet.

Hvis certifikatet blokeres, vil det betyde, at man ikke kan bruge HTTPS i Firefox i Kasakhstan, medmindre en anden teknisk løsning implementeres samtidig.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kenn Nielsen

Jeg mener at huske PHK for nogen tid siden, i en HTTPS-debat, ytre noget som jeg fortolkede til "Pas på hvad i ønsker jer, måske i får det".

Nu skal al trafik fra og til browseren være krypteret.
Hvilket betyder at vi - som bruger - heller ikke kan se hvad vor PC/padde/telefon sender ud af oplysninger.

Måske vi - lige akkurat - undgik at skyde os selv i foden.
..Ved at ramme knæet i stedet.....

K

  • 2
  • 7
Jesper Lund

Nu skal al trafik fra og til browseren være krypteret.
Hvilket betyder at vi - som bruger - heller ikke kan se hvad vor PC/padde/telefon sender ud af oplysninger.

Du kan selv lave lokale MiTM SSLstrip angreb, og du kan selv installere falske rod certificater, hvis du fx vil undersøge hvilke data der sendes fra dine devices. Typisk vil du kun gøre dette kortvarigt og i et kontrolleret miljø, fordi det er en dårlig idé at undergrave din egen sikkerhed.

Det er noget ganske andet end at staten vil overvåge al din kommunikation.

  • 12
  • 0
Kjeld Flarup Christensen

Den kasakhstanske regering har tidligere søgt om at blive root-CA – rodscertifikatsautoritet – hvilket ville give dem mulighed, for at lave man-in-the-middle-angreb mod det meste af verdens krypterede webtrafik, men blev afvist.

Kan man gå ud fra at NSA har den mulighed?

  • 0
  • 0
Benny Lyne Amorsen

Kan man gå ud fra at NSA har den mulighed?


Ja, NSA har uden tvivl adgang til at få mindst én root-CA til at udstede hvad de nu har behov for af certifikater. Det kan forhindres med Public Key Pinning, men PKP er stort set opgivet som teknologi.

Det betyder dog ikke at alt er tabt. NSA kan lave et certifikat som virker for én server mod én klient. Det vil være svært for dem at lave certifikater for alle servere for én klient, og også svært for dem at lave et certifikat for én server for alle klienter uden at blive opdaget.

Kasakhstan's løsning hvor de fikser certifikater for alle servere og alle klienter kan ikke implementeres af NSA hemmeligt. Ligesom i Kasakhstan vil alle vide at NSA gør det.

  • 3
  • 0
Bjarne Nielsen

Ja, NSA har uden tvivl adgang til at få mindst én root-CA til at udstede hvad de nu har behov for af certifikater. Det kan forhindres med Public Key Pinning, men PKP er stort set opgivet som teknologi.

Umiddelbart vil det være mere effektivt at angribe truststore direkte. Jeg har set antivirus programmer lave SSL stripping (og så lave deres egne certificater on-the-fly, så alt så plausibelt ud). Det kan også ske i miljøer (læs: firmaer), hvor brugerne ikke har fuld kontrol deres installation.

Google pinnede engang (jeg ved ikke om de stadig gør det) i hvertfald en del af certifikat-kæden i Chrome. Jeg kender ikke den konkrete teknologi, men hvis man laver den slags julelege, så skal man nok undgå at lege med deres certifikater. Jeg har også hørt rygter om at der CA'er i vores default truststores, hvor man er mere ... ahem ... hjælpsom overfor staten end gennemsnitligt . Og at man her prøver man dog at undgå at ... ahem ... erstatte store bankers certifikater, for de holder faktisk øje. Der er dog ikke helt fri leg: https://www.version2.dk/artikel/mozilla-blokerer-emiratisk-certifikat-ud...

Siden balladen med CA-erne i starten af dette årtusinde, er der kommet diverse forslag. F.eks.:

Det er korrekt, at det halter med udbredelsen, hvilket givetvist kan tilskrives en kombinationer af hønen/ægget, politik, særinteresser og mangel på synlighed/pres udefra. Der er også et vist overlap, hvad ikke gør det nemmere.

Det bemærkes, at flere af ovenstående flytter problemet over på DNS, og så kræves det, at man kan stole på det (der er også flere andre gode grunde til at have et DNS system, som man kan stole på). DNSSEC bliver derfor pludseligt vigtigt, men hey, DNSSEC kræver sørme også et trust anchor, som er til at stole på.

Det er ikke nemt.

PS: Meget af det her går ud på, at forhindre stor-skala angreb (eller i det mindste gøre dem synlige nok til, at de ikke længere er attraktive). Er angrebet målrettet, så vil jeg gå efter noget andet og nemmere, som f.eks. browseren eller dens truststore (https://www.xkcd.com/538/ - https://www.commitstrip.com/en/2019/07/18/your-smart-homes-achilles-heel/)

  • 5
  • 0
Jesper Lund
  • 1
  • 0
Log ind eller Opret konto for at kommentere