Этот пост раньше назывался иначе, но модераторы попросили его изменить и убрать негатив, хотя это и сказалось на смысле, с моей точки зрения. Тем не менее, держите факты.



В июле я опубликовал на Хабре новость, о том что власти Казахстана обязали всех жителей Астаны установить сертификат для осуществления MITM атаки на их данные, передаваемые через мобильные сети. Новость была резонансная, набрала много комментариев, и до сих пор «тлеет»: Готовьтесь и вы, россияне, к MITM в лице государства, как это стало в Казахстане. Я стал внимательно отслеживать эту тему, читал все новости и статьи с подходящей тематикой. Мне интересно было, как на это событие отреагируют организации: как международные, так и всякие казахстанские «интернет ассоциации».

Хорошую статью по этой теме выпустила относительно недавно Cencor Planet, которая держала руку на пульсе и отслеживала ситуацию по этой атаке. Вот статья с securitylab про это: Правительство Казахстана перехватывает трафик Facebook, VK и Google

Совсем недавно веб-сайты с Let's Encrypt (225 миллионов доменов) рисковали остаться без трафика с устройств на старых версиях Android (34% от всех девайсов). По заявлениям Let's Encrypt они нашли выход из ситуации и IdenTrust выпустил для них новый трехлетний перекрестный знак для корня ISRG X1 со своего корневого центра сертификации DST X3. Но действительно ли владельцам сайтов с Let's Encrypt можно расслабиться?

Истекающий срок действия корневого сертификата Let's Encrypt означает, что каждое третье устройство Android (более 34% устройств используют версии 7.1.1 и ниже) будет заблокировано с миллионов сайтов, защищенных системой Let's Encrypt.

Данная проблема – результат того, что Let's Encrypt больше не использует перекрестную подпись со сторонним корневым сертификатом. Из-за этого посетители веб-сайтов на старых версиях Android будут заблокированы от доступа к сайтам, защищенным с помощью Let's Encrypt.

Это определенно не то, что пользователи хотят видеть при посещении веб-сайта. Аналогично и владельцы сайтов не горят желанием, чтобы пользователи видели какие-либо предупреждения, которые могут посеять сомнения по поводу безопасности их страниц.

Что именно привело к такому повороту событий? Кого могут коснутся изменение? Что могут сделать владельцы сайтов, чтобы минимизировать ущерб?

Предыстория проблемы

Корни проблемы исходят из 2015 года, когда компания Let’s Encrypt была основана группой Internet Security Research Group (ISRG) и их партнерами. Поскольку могут потребоваться годы на то, чтобы все ОС и браузеры начали доверять их собственному сертификату, они подписали свои сертификаты перекрестно с доверенным корнем существующего ЦС (IdenTrust и их сертификатом DST Root X3), что является типичным поведением для новых центров сертификации.

В последние две недели жители столицы Казахстана столкнулись с проблемами с доступом в Интернет. Чиновники объяснили происходящее тестированием новой системы, входящей в состав «Киберщита Казахстана», позволяющей повысить обороноспособность страны и противодействовать информационным войнам. По полученной нами ранее статистике, властям удалось реализовать инспектирование трети всего трафика столицы.

Сегодня, с некоторым опозданием (уже после так называемого тестирования), разработчики Google Chrome в своем security-блоге (пост) опубликовали информацию, что в рамках защиты пользователей Казахстана национальный сертификат добавлен в CRLSets (набор аннулированных сертификатов).