Защита пользователей на территории Казахстана

В июле 2019 года пользователь браузера Firefox информировал Mozilla об уязвимости, затрагивающей пользователей Firefox в Казахстане. Сообщалось, что интернет-провайдеры в Казахстане начали информировать своих клиентов о том, что они должны установить на свои устройства выданный правительством корневой сертификат. Однако интернет-провайдеры не сообщили своим клиентам, что сертификат используется для перехвата сетевых коммуникаций. Другие пользователи и исследователи подтвердили эти заявления и перечислили более тридцати популярных сайтов социальных сетей и общения, которые были затронуты этой уязвимостью.

Безопасность и конфиденциальность зашифрованных соединений HTTPS в Firefox и других браузерах зависит от доверенных центров сертификации (Certificate Authorities), выдающих сертификаты для сайтов только тем пользователям, которые контролируют доменное имя или сайт. Например, вы и я не можем получить доверенный сертификат для www.facebook.com, так как у Mozilla существуют строгие политики для всех центров сертификации, которым доверяет Firefox, то есть сертификат для этого домена может получить только уполномоченное лицо . Тем не менее, когда пользователь в Казахстане устанавливает корневой сертификат, предоставленный своим провайдером, он выбирает центр сертификации, который не обязан следовать каким-либо правилам и может выдать сертификат для любого сайта любому пользователю. Это делает возможным перехват и расшифровку сетевых коммуникаций между Firefox и веб-сайтом, что также называется атакой Monster-in-the-Middle (MITM).

Мы считаем, что эти действия подрывают безопасность наших пользователей и Интернета, а также напрямую противоречат Принципу № 4 Манифеста Mozilla, который утверждает, что «Безопасность и приватность пользователей Интернета имеют основополагающее значение и не могут рассматриваться как второстепенные моменты».

В целях защиты наших пользователей Firefox вместе с Chrome заблокирует использование корневого сертификата центра сертификации в Казахстане. Это означает, что Firefox не будет доверять ему, даже если он установлен пользователем. Мы считаем, что это адекватный ответ, так как пользователям в Казахстане не предложен разумный выбор, устанавливать ли сертификат, и так как эта атака подрывает целостность важного механизма безопасности сети. При попытке получить доступ к сайту, который отвечает с помощью этого сертификата, пользователи Firefox увидят сообщение об ошибке, в котором сообщается, что сертификату не следует доверять.

Мы рекомендуем пользователям в Казахстане, затронутых этим изменением, рассмотреть возможность использования ПО виртуальной частной сети (VPN) или браузера Tor для доступа к Интернету. Мы также настоятельно рекомендуем всем, кто выполнил действия по установке корневого сертификата правительства Казахстана, удалить его с ваших устройств и немедленно изменить ваши пароли, используя надежный уникальный пароль для каждой из ваших учетных записей в Интернете.