В июле пользователь Firefox сообщил Mozilla о проблеме безопасности, затрагивающей пользователей Firefox в Казахстане: они заявили, что интернет-провайдеры в Казахстане начали рассказывать своим клиентам, что они должны установить выданный правительством корневой сертификат на свои устройства. Интернет-провайдеры не сказали своим клиентам, что сертификат используется для перехвата сетевых коммуникаций. Другие пользователи и исследователи подтвердили эти утверждения, и сообщили около 3 десятка популярных социальных сетей и сайтов связи, которые были затронуты, сообщает Platon.asia со ссылкой на blog.mozilla.org.
Безопасность и конфиденциальность зашифрованных соединений HTTPS в Firefox и других браузерах зависит от доверенных центров сертификации (ЦС), которые выпускают сертификаты веб-сайта только тому, кто контролирует доменное имя или веб-сайт. Например, вы не можете получить доверенный сертификат для www.facebook.com, поскольку Mozilla имеет строгие политики для всех ЦС, которым доверяет Firefox, которые позволяют только уполномоченному лицу получить сертификат для этого домена. Тем не менее, когда пользователь в Казахстане устанавливает корневой сертификат, предоставленный его провайдером, он выбирает доверять ЦС, который не должен следовать никаким правилам и может выдать сертификат для любого веб-сайта кому угодно. Это позволяет перехватывать и расшифровывать сетевые коммуникации между Firefox и веб-сайтом, иногда называемые атакой Monster-in-the-Middle (MITM).
Mozilla считает, что этот акт подрывает безопасность наших пользователей и Интернета и прямо противоречит Принципу 4 Манифеста Mozilla, в котором говорится, что «безопасность и конфиденциальность людей в Интернете являются основополагающими и не должны рассматриваться как необязательные».
Чтобы защитить пользователей, Firefox вместе с Chrome заблокирует использование сертификата корневого CA в Казахстане. Это означает, что Firefox не будет доверять ему, даже если пользователь установил его. Mozilla считает, что это правильный шаг, потому что пользователям в Казахстане не дают осмысленного выбора, устанавливать ли сертификат, и потому что эта атака подрывает целостность критического механизма безопасности сети. При попытке получить доступ к веб-сайту, который отвечает этим сертификатом, пользователи Firefox увидят сообщение об ошибке, в котором говорится, что сертификату не следует доверять.
"Мы призываем пользователей в Казахстане, кого коснулось это изменение, исследовать использование программного обеспечения виртуальной частной сети (VPN) или браузера Tor для доступа в Интернет. Мы также настоятельно рекомендуем всем, кто выполнил шаги по установке корневого сертификата, удалить его со своих устройств и немедленно измените свои пароли, используя надежный уникальный пароль для каждой из ваших учетных записей в Интернете", - сообщили в Mozilla.
