Для отключения вывода в браузерах предупреждения о применении некорректного сертификата пользователям предписано установить на свои системы «национальный сертификат безопасности«, который применяется при трансляции защищенного трафика к зарубежным сайтам (например, уже фиксируется подмена трафика к Facebook).
При установке TLS-соединения реальный сертификат целевого сайта подменяется сгенерированным на лету новым сертификатом, который будет помечен браузером как достоверный, если «национальный сертификат безопасности» был добавлен пользователем в хранилище корневых сертификатов, так как подставной сертификат связан цепочкой доверия с «национальным сертификатом безопасности».
По сути в Казахстане полностью скомпрометирована предоставляемая протоколом HTTPS защита и все HTTPS запросы с позиции возможности отслеживания и подмены трафика спецслужбами мало чем отличаются от HTTP. Проконтролировать злоупотребления в такой схеме невозможно, в том числе при попадании связанных с «национальный сертификат безопасности» ключей шифрования в другие руки в результате утечки.
Разработчики браузеров рассматривают предложение добавить применяемый для перехвата корневой сертификат в список отозванных сертификатов (OneCRL), как недавно Mozlla поступила с сертификатами удостоверяющего центра DarkMatter. Но смысл такой операции не совсем ясен (в прошлых обсуждениях его посчитали бесполезным), так как в случае с «национальным сертификатом безопасности» этот сертификат изначально не охвачен цепочками доверия и без установки сертификата пользователем браузеры и так выводят предупреждение. С другой стороны, отсутствие реакции со стороны производителей браузеров может стимулировать внедрение подобных систем в других странах. В качестве варианта предлагается также реализовать новый индикатор для локально установленных сертификатов, уличённых в MITM-атаках.
Источник: http://www.opennet.ru/opennews/art.shtml?num=51123