哈薩克政府實行的中間人攻擊
哈薩克政府實行的中間人攻擊是指哈薩克政府通過頒發並勸誘用戶安裝其頒發的網絡根證書從而解密HTTPS加密流量,發動中間人攻擊的事件,自2015年到2020年發生了三次。由於瀏覽器廠商的抵制,這些嘗試未能達到目的。
背景
根證書是HTTPS加密連接的基石,網絡瀏覽器會內建一個可信根證書列表,用於檢查某網站的身份和驗證加密流量的TLS證書。由於根證書的金鑰由可信的第三方證書頒發機構儲存,中間人不大可能解密用戶的加密流量。然而,如果某國政府要求所有用戶安裝其頒發的根證書,那麼安裝了其證書的用戶,在使用互聯網時,傳送的流量可能會被證書頒發者攔截、解密,該國政府從而可以獲得加密連接中用戶的資訊。
VentureBeat網站認為,哈薩克政府最初針對的目標可能是Google、Facebook和Twitter等網站。[1]
時間線
2015年的第一次嘗試中,政府表示該證書是「國家安全證書」。[2][3]
2019年7月,哈薩克的網絡供應商開始向其用戶傳送有關網絡證書的訊息,並把該證書稱為Qaznet Trust Certificate,[4]該證書由國家證書頒發機構Qaznet Trust Network頒發,所有用戶都要安裝。[5][6][7]這是哈薩克政府第二次嘗試簽發根證書。
2019年8月21日,Mozilla公司和Google公司同時宣佈,Firefox瀏覽器和Google Chrome將不會接受這張由哈薩克政府頒發的證書,即使用戶手動安裝也依然不會接受。[8][9]蘋果公司宣佈Safari瀏覽器也會進行類似的措施。[1][10]截至2019年8月[update],微軟迄今尚未對其瀏覽器採取任何措施,但重申該政府頒發的證書不在旗下瀏覽器的受信任根儲存中,除非用戶手動安裝,否則不會產生任何影響。[11]
2020年12月,哈薩克政府第三次嘗試引入政府頒發的根證書。[12]各瀏覽器生產商再次宣佈,他們不會讓這類證書在瀏覽器中生效。[13]
參考
- ^ 1.0 1.1 Paris, Martine. Google and Mozilla block Kazakhstan root CA certificate from Chrome and Firefox. VentureBeat. 2019-08-21 [2019-08-21]. (原始內容存檔於2022-04-04) (美國英語).
- ^ Nurmakov, Adil. Experts Concerned Kazakhstan Plans to Monitor Users' Encrypted Traffic. Digital Report. 2015-12-05 [2019-07-18]. (原始內容存檔於2015-12-05) (ru-RU).
- ^ Nichols, Shaun. Is Kazakhstan about to man-in-the-middle diddle all of its internet traffic with dodgy root certs?. www.theregister.co.uk. 3 Dec 2015 [2019-07-18]. (原始內容存檔於2019-12-28) (英語).
- ^ Kazakh government will intercept the nation’s HTTPS traffic. IT PRO. [2019-08-21] (英語).
- ^ MITM on all HTTPS traffic in Kazakhstan | Hacker News. news.ycombinator.com. [2019-07-18]. (原始內容存檔於2022-01-09).
- ^ Afifi-Sabet, Keumars. Kazakh government will intercept the nation’s HTTPS traffic. IT PRO. 19 July 2019 [2019-07-19] (英語).
- ^ Raman, Ram Sundara. Kazakhstan's HTTPS Interception. censoredplanet.org. University of Michigan. July 23, 2019 [2019-08-21]. (原始內容存檔於2022-03-15).
- ^ Thayer, Wayne. Protecting our Users in Kazakhstan. Mozilla Security Blog. 2019-08-21 [2019-08-21]. (原始內容存檔於2022-04-03) (美國英語).
- ^ Whalley, Andrew. Protecting Chrome users in Kazakhstan. Google Online Security Blog. 2019-08-21 [2019-08-21]. (原始內容存檔於2022-04-05) (英語).
- ^ Paris, Martine (2019-08-21). "Google and Mozilla block Kazakhstan root CA certificate from Chrome and Firefox" (頁面存檔備份,存於互聯網檔案館). VentureBeat. Retrieved 2019-08-21.
- ^ Brodkin, Jon. Google, Apple, and Mozilla block Kazakhstan government’s browser spying. Ars Technica. 2019-08-21 [2019-08-22]. (原始內容存檔於2022-04-07) (美國英語).
- ^ Cimpanu, Catalin. Kazakhstan government is intercepting HTTPS traffic in its capital. ZDNet. [2020-12-18]. (原始內容存檔於2020-12-06) (英語).
- ^ Moon, Mariella. Tech giants will block Kazakhstan's web surveillance efforts again. Engadget. 2020-12-18 [2020-12-18]. (原始內容存檔於2022-04-08) (英語).