[ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
Модератор: Модераторы разделов
[ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
В соответствии с действующими в Казахстане с 2016 года поправками к закону «О связи», многие казахские провайдеры, включая Kcell, Beeline, Tele2 и Altel, с сегодняшнего дня ввели в строй системы перехвата HTTPS-трафика клиентов с подменой изначально используемого сертификата. Изначально систему перехвата планировалось внедрить в 2016 году, но это операция постоянно откладывалась и закон уже стал восприниматься как формальный. Перехват осуществляется под видом заботы о безопасности пользователей и желания оградить их от предоставляющего угрозу контента.
Для отключения вывода в браузерах предупреждения о применении некорректного сертификата пользователям предписано установить на свои системы "национальный сертификат безопасности", который применяется при трансляции защищенного трафика к зарубежным сайтам (например, уже фиксируется подмена трафика к Facebook).
При установке TLS-соединения реальный сертификат целевого сайта подменяется сгенерированным на лету новым сертификатом, который будет помечен браузером как достоверный, если "национальный сертификат безопасности" был добавлен пользователем в хранилище корневых сертификатов, так как подставной сертификат связан цепочкой доверия с "национальным сертификатом безопасности".
По сути в Казахстане полностью скомпрометирована предоставляемая протоколом HTTPS защита и все HTTPS запросы с позиции возможности отслеживания и подмены трафика спецслужбами мало чем отличаются от HTTP. Проконтролировать злоупотребления в такой схеме невозможно, в том числе при попадании связанных с "национальным сертификатом безопасности" ключей шифрования в другие руки в результате утечки.
Разработчики браузеров рассматривают предложение добавить применяемый для перехвата корневой сертификат в список отозванных сертификатов (OneCRL), как недавно Mozilla поступила с сертификатами удостоверяющего центра DarkMatter. Но смысл такой операции не совсем ясен (в прошлых обсуждениях его посчитали бесполезным), так как в случае с "национальным сертификатом безопасности" этот сертификат изначально не охвачен цепочками доверия и без установки сертификата пользователем браузеры и так выводят предупреждение. С другой стороны, отсутствие реакции со стороны производителей браузеров может стимулировать внедрение подобных систем в других странах. В качестве варианта предлагается также реализовать новый индикатор для локально установленных сертификатов, уличённых в MITM-атаках.
Источник: https://www.opennet.ru/opennews/art.shtml?num=51123
(opennet.ru, основная лента)
Для отключения вывода в браузерах предупреждения о применении некорректного сертификата пользователям предписано установить на свои системы "национальный сертификат безопасности", который применяется при трансляции защищенного трафика к зарубежным сайтам (например, уже фиксируется подмена трафика к Facebook).
При установке TLS-соединения реальный сертификат целевого сайта подменяется сгенерированным на лету новым сертификатом, который будет помечен браузером как достоверный, если "национальный сертификат безопасности" был добавлен пользователем в хранилище корневых сертификатов, так как подставной сертификат связан цепочкой доверия с "национальным сертификатом безопасности".
По сути в Казахстане полностью скомпрометирована предоставляемая протоколом HTTPS защита и все HTTPS запросы с позиции возможности отслеживания и подмены трафика спецслужбами мало чем отличаются от HTTP. Проконтролировать злоупотребления в такой схеме невозможно, в том числе при попадании связанных с "национальным сертификатом безопасности" ключей шифрования в другие руки в результате утечки.
Разработчики браузеров рассматривают предложение добавить применяемый для перехвата корневой сертификат в список отозванных сертификатов (OneCRL), как недавно Mozilla поступила с сертификатами удостоверяющего центра DarkMatter. Но смысл такой операции не совсем ясен (в прошлых обсуждениях его посчитали бесполезным), так как в случае с "национальным сертификатом безопасности" этот сертификат изначально не охвачен цепочками доверия и без установки сертификата пользователем браузеры и так выводят предупреждение. С другой стороны, отсутствие реакции со стороны производителей браузеров может стимулировать внедрение подобных систем в других странах. В качестве варианта предлагается также реализовать новый индикатор для локально установленных сертификатов, уличённых в MITM-атаках.
Источник: https://www.opennet.ru/opennews/art.shtml?num=51123
(opennet.ru, основная лента)
Последний раз редактировалось rssbot 19.07.2019 16:37, всего редактировалось 3 раза.
Причина: Updated upstream
Причина: Updated upstream
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
Переведите пожалуйста это сообщение на доступное понимание для чайников
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
Ежели ты патриот и правильный казах - вот тебе правильный сертификат, который ты должен добровольно, в порядке (как там по фильму?) дисциплины установить на свой браузер. Это, конечно добровольно и для вашей же безопасности, бла, бла, бла... а несогласным отключим газ (по тому же фильму)
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
Про "отключим газ" понятно, поясните про правильный сертификат, чем он "правильнее", например моего(Вашего) который в России.
Не совсем понятно значение:
- Сертификат позволяет «точечно» оградить казахстанских пользователей сети Интернет от противоправного контента, запрещенного законодательством РК.
- В случае отсутствия сертификата безопасности на абонентских устройствах возникнут технические ограничения с доступом к отдельным Интернет-ресурсам.
Т.е. (1 пункт) - если есть сертификат, то вас оградят от противоправного контента и вы на него фиг пробьётесь.
Но в соответствии со 2-м пунктом - если у вас нет сертификата, то вы туда по дефолту уже не пробьётесь.
Или это как у шулера - какую карту из его колоды не возьми, получишь шестёрку, а туз останется в рукаве
Непонятно - что это за выбор такой или если нет правильного сертифика, то инета у юзера вообще не будет? Тогда что за фраза только про "отдельные ресурсы"
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
Свой сертификат позволит очень правильным пацанам отслеживать не очень правильных пацанов. Причём на права не очень правильных пацанов им плевать. Как и на их безопасность, кстати.По сути в Казахстане полностью скомпрометирована предоставляемая протоколом HTTPS защита и все HTTPS запросы с позиции возможности отслеживания и подмены трафика спецслужбами мало чем отличаются от HTTP. Проконтролировать злоупотребления в такой схеме невозможно, в том числе при попадании связанных с "национальным сертификатом безопасности" ключей шифрования в другие руки в результате утечки.
P.S. А как реализовать подобное - дело десятое. Можно заставить эти сертификаты контролировать провайдеров. Либо ковровое штрафование пользователей - вариантов много. Проблема в том, что отработав на Казахстане - это будет и в РФ.
Спасибо сказали:
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
Разрешите я поясню чуть чуть попроще, для всех остальных.
Кратко.
Правительство может подменить сертификат на свой на уровне провайдера и читать нашу личку, не уведомляя об этом кого то вас, меня или вебмастера.
Как умею, подробно
В url unixforum есть https (посмотрите вверху браузера).
То есть если я вам отправлю сообщение в личке, то прочитать его сможете вы, я и тот кто имеет прямой доступ к БД. На уровне провайдера прочесть по сути невозможно, то есть если полицаи просто хотят глянуть на десятке тысяч сайтов не пишут ли там пользователи в личке слишком много о том, как они любят господина ПЖ -- то у них ничего не выйдет. Надо какие то запросы составлять разным вебммастерам, получать от них данные в разном, часто не удобном виде.
Если же поставить свой "национальный" сертификат, в том числе можно подменять сертификат. То есть вы зашли на unixforum, видите https но вы конечно внутрь сертификата не идёте и серийный номер не сверяете 04:32:7C:08:2A:89:5F:0A:00:DE:9F:02:9D:04:B3:47:9C:2F который ещё и меняется каждые 3 месяца. Правительство может подменить сертификат на свой на уровне провайдера и читать нашу личку, не уведомляя об этом кого то.
сам новость счёл политической и постить не стал.
Кратко.
Правительство может подменить сертификат на свой на уровне провайдера и читать нашу личку, не уведомляя об этом кого то вас, меня или вебмастера.
Как умею, подробно
В url unixforum есть https (посмотрите вверху браузера).
То есть если я вам отправлю сообщение в личке, то прочитать его сможете вы, я и тот кто имеет прямой доступ к БД. На уровне провайдера прочесть по сути невозможно, то есть если полицаи просто хотят глянуть на десятке тысяч сайтов не пишут ли там пользователи в личке слишком много о том, как они любят господина ПЖ -- то у них ничего не выйдет. Надо какие то запросы составлять разным вебммастерам, получать от них данные в разном, часто не удобном виде.
Если же поставить свой "национальный" сертификат, в том числе можно подменять сертификат. То есть вы зашли на unixforum, видите https но вы конечно внутрь сертификата не идёте и серийный номер не сверяете 04:32:7C:08:2A:89:5F:0A:00:DE:9F:02:9D:04:B3:47:9C:2F который ещё и меняется каждые 3 месяца. Правительство может подменить сертификат на свой на уровне провайдера и читать нашу личку, не уведомляя об этом кого то.
Добавлено (03:26):
звсам новость счёл политической и постить не стал.
Спасибо сказали:
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
Это ошибочное понимание, в нашем мире всё взаимосвязано и от политики никуда не деться. Хотя можно конечно как страус засунуть голову в песок.
А конкретно по теме, не считая небольшого количества узких специалистов в этой области (относительно простых юзеров), большинство людей ничего не знают о безопасности и о всяких там сертификатах.
Хуже того, не представляют к каким последствиям это незнание может привести. Простые хомячки живут в иллюзорном розовом мире, ведь они безграмотны в этой области, к тому же эти вопросы никто широко не обсуждает. А зачем тревожить покой хомячков, начнут ещё вопросы дурацкие задавать - "а зачем, почему, а где наши конституционные права?" Всех заинтересованных лиц вполне устраивает нынешнее положение вещей. К тому же, всё это понять не так просто.
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
На самом деле установка этого сертификата лишь скроет от пользователя, что его "шифрованный трафик" читается третьими лицами.
То есть браузер будет показывать уведомление о подмене сертификата сайта, если не установить этот гос. сертификат.
Но перехватываться трафик будет в любом случае. Единственный выход - VPN или tor.
То есть браузер будет показывать уведомление о подмене сертификата сайта, если не установить этот гос. сертификат.
Но перехватываться трафик будет в любом случае. Единственный выход - VPN или tor.
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
В таком случае поясните, ограничится ли чтение трафика юзера только третьими гос-лицами или туда смогут вклиниться четвёртые, пятые, десятые используя какую-нибудь уязвимость, ну типа уязвимости SS7. Ведь люди заходят в сбербанк-онлайн
- Bizdelnick
- Модератор
- Сообщения: 20793
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
Что за чушь? Если корневой сертификат не установлен, браузер в случае перехвата не будет загружать страницу и выдаст предупреждение.Vascom писал: ↑22.07.2019 08:04На самом деле установка этого сертификата лишь скроет от пользователя, что его "шифрованный трафик" читается третьими лицами.
То есть браузер будет показывать уведомление о подмене сертификата сайта, если не установить этот гос. сертификат.
Но перехватываться трафик будет в любом случае. Единственный выход - VPN или tor.
Добавлено (10:08):
Это зависит исключительно от настроек перехватывающего софта. Он принимает решение, каким сертификатам доверять при установлении соединения с целевым сервером.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
Почему чушь? Браузер всё равно позволит зайти на сайт с таким сертификатом.
Если что-либо доступно третьим лицам - может быть в итоге доступно кому угодно.
Если что-либо доступно третьим лицам - может быть в итоге доступно кому угодно.
- Bizdelnick
- Модератор
- Сообщения: 20793
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
Не позволит, пока юзер сам не натыкает правильную последовательность кнопочек и галочек (что в FF, например, уже сделали достаточно сложным квестом, чтобы справиться с этим, не включая мозг).
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
С этим-то пользователи справятся. Или предложенный сертификат установят, чтобы не мучиться.
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
Почти все современные антивирусы (касперский, дрвеб) проверяют https трафик. Нередко, это приводит к сбоям.
В чём отличие от Казахстана?
оффтопик
по мне так анонимность в сети -- ерунда не стоящая внимания. Сегодня новость задержали очередных экстремистов из движения к ссср и фсб говорит, что таких по стране 150 тысяч человек. В паводке в Иркутской области пострадали 33 тысячи человек, очень мало кто власть хвалит. Каждый 4 зек в РФ сидит за наркотики и большая часть подставы для положительной отчётности полицаев. Это не касаясь пенсий или мусора.
Я уверен, что смысла от прослушки нет никакого. Просто безумие безнаказаности власти, абсолютно им не нужное.
То есть надо не обсуждать как это плохо, а просто принять факт, теперь будет и это.
В чём отличие от Казахстана?
оффтопик
по мне так анонимность в сети -- ерунда не стоящая внимания. Сегодня новость задержали очередных экстремистов из движения к ссср и фсб говорит, что таких по стране 150 тысяч человек. В паводке в Иркутской области пострадали 33 тысячи человек, очень мало кто власть хвалит. Каждый 4 зек в РФ сидит за наркотики и большая часть подставы для положительной отчётности полицаев. Это не касаясь пенсий или мусора.
Я уверен, что смысла от прослушки нет никакого. Просто безумие безнаказаности власти, абсолютно им не нужное.
То есть надо не обсуждать как это плохо, а просто принять факт, теперь будет и это.
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
Каждый выбирает для себя
женщину, религию, дорогу.
Дьяволу служить или пророку —
каждый выбирает для себя.
женщину, религию, дорогу.
Дьяволу служить или пророку —
каждый выбирает для себя.
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
тут только тема такая, что государство и легмитивная власть в РБ -- это дьявол. А пророка по ходу вообще нет, но все чувствуют, что денег не хватает. Внезапно, да.
зы
помогите мне пожалуйста
Анонимность в интернет
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
Вот именно что личные критичные данные только у госструктур и банков. А вот смысл https на форумах в частности, думаю, стремится к нулю, всё опусы ведь публичны, читай не хочу. Значит надо бы изобрести гос-банковский протокол, чтобы его никто, а эти пароли от соцсетей пускай себе крадут.
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
Конечно всякие HTTPS не нужны. И "пароли от соцсетей" пущай крадут - ни жалко. А то, что от вашего имени кто-то что-то написал - это же такой пустяк, правда?yoricI писал: ↑23.07.2019 12:43Вот именно что личные критичные данные только у госструктур и банков. А вот смысл https на форумах в частности, думаю, стремится к нулю, всё опусы ведь публичны, читай не хочу. Значит надо бы изобрести гос-банковский протокол, чтобы его никто, а эти пароли от соцсетей пускай себе крадут.
- Bizdelnick
- Модератор
- Сообщения: 20793
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
В том, что анитивирус устанавливают добровольно, проверка шифрованного трафика в нём опциональна и работает на подконтрольной пользователю (или администратору) машине, а не у дяди.
Не вижу логической связи между этими двумя тезисами.
Опять 25… Вы так хотите, чтобы кто-то мог с помощью украденного пароля от Вашей учётки оставить тут экстремистский комментарий, за который Вас могут посадить? XXI век на дворе, высокие технологии, наркоту подбрасывать стало необязательно.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
В соцсетях - пустяк, там одни сплошные пустяки :-)
Только без паники :-) Не совсем точно я выразился, пароль надо шифровать, конечно - но ведь какие всемирно накладные расходы на шифровку открытого текста. Почему бы не шифровать только рукопожатие?Bizdelnick писал: ↑23.07.2019 12:53Вы так хотите, чтобы кто-то мог с помощью украденного пароля от Вашей учётки оставить тут экстремистский комментарий, за который Вас могут посадить?
- Bizdelnick
- Модератор
- Сообщения: 20793
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
Во-первых, вместе с текстом передаётся и сессионная кука, которую достаточно спереть, чтобы получить доступ без пароля (если она не привязана к IP-адресу, то вообще нефиг делать, если привязана — сложнее, но имея оборудование, установленное у провайдера, вполне возможно). Во-вторых, можно и прямо на лету текст подменить. Постите Вы вопрос про несобирающийся пакет в генте, а на форум приходит сообщение с призывом к свержению конституционного строя. И обратно страница отдаётся с призывом, но он на лету же подменяется Вашим вопросом, и Вам кажется, что всё нормально.
В общем, полумеры ни от чего не защищают.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
Bizdelnick и devilr я не зря создал тему про анонимность, думаю вдруг чо не понимаю.
То есть тема вот эта, она к анонимности не имеет отношения никакого! Совсем никак.
Вопросов два.
1. Пароль от авторизации. Я уверен, что посредством js можно реализовать отличное шифрование, абсолютно не потребуется шифровать весь трафик.
2. Проблема моей личной анонимности. Нужны какие то доказательства, что это именно azsx пишет. Вход по отпечатку пальцев наверное пойдёт, верно?
В ssl протоколе есть критическая фича, благодаря котрой государство может отключать его. В рамках протокола проблема не решаема.
Если я обменяюсь публчиными ключами gpg с кем либо из вас, после чего начну обмениваться с тем, с кем обменялся коментариями к конституции СССР, то вы можете принять +100500 законов, можете заставить провайдера звонить и лично докладывать, можете хоть разреветься. Вы либо законодательно запрещаете код программы (сажаете за сам факт наличия шифровки или средств шифрования), либо с точки зрения компь.теров ничего сделать не сможете, верно?
То есть тема вот эта, она к анонимности не имеет отношения никакого! Совсем никак.
Вопросов два.
1. Пароль от авторизации. Я уверен, что посредством js можно реализовать отличное шифрование, абсолютно не потребуется шифровать весь трафик.
2. Проблема моей личной анонимности. Нужны какие то доказательства, что это именно azsx пишет. Вход по отпечатку пальцев наверное пойдёт, верно?
Добавлено (15:35):
По мне так тема звучит так.В ssl протоколе есть критическая фича, благодаря котрой государство может отключать его. В рамках протокола проблема не решаема.
Если я обменяюсь публчиными ключами gpg с кем либо из вас, после чего начну обмениваться с тем, с кем обменялся коментариями к конституции СССР, то вы можете принять +100500 законов, можете заставить провайдера звонить и лично докладывать, можете хоть разреветься. Вы либо законодательно запрещаете код программы (сажаете за сам факт наличия шифровки или средств шифрования), либо с точки зрения компь.теров ничего сделать не сможете, верно?
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
По реакции участников будет заметно, что что-то не так. Всех не перевешаете, ой, то есть не подделаешь, или надо полк шифровальщиков садить в реальном времени.Bizdelnick писал: ↑23.07.2019 15:19можно и прямо на лету текст подменить. Постите Вы вопрос про несобирающийся пакет в генте, а на форум приходит сообщение с призывом к свержению конституционного строя. И обратно страница отдаётся с призывом, но он на лету же подменяется Вашим вопросом, и Вам кажется, что всё нормально.
Не подумайте, я конечно не оправдываю, а просто пытаюсь для себя понять и выработать меры противодействия. Можно, например, копию сообщений (кейлоггер) у себя хранить и ещё куда рассылать на хранение.
Последний раз редактировалось yoricI 23.07.2019 17:15, всего редактировалось 1 раз.
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
метод единично применялся к спамерам. Дают запостить, этому логину отдаётся тема без единого ответа. На самом деле пост удалён. Но это всё единичные велосипеды и точно не решается шифрованием трафика.
И в любом случае проблема прежде всего конкретно идентифицировать пользователя.
- Bizdelnick
- Модератор
- Сообщения: 20793
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
Не авторизации, а аутентификации. Это разные вещи.
Можно, но зачем? Накладные расходы будут намного выше, чем на шифрование всего трафика. И более высокого уровня безопасности добиться не получится, ничего принципиально нового по сравнению с TLS Вы не изобретёте.
Причём здесь анонимность? Это прямо противоположное понятие.
Ну да, и наркоту тоже всем не подбросишь. Выборочно.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
Согласен я с Вами. Да.
Но.
Понимаете, если кто то из полицаев в РК подменит сертификат для конкретного юзера, от его имени запостит комментарий к конституции СССР, а потом примет меры (посадит например). То даже если это будут разные полицаи, надо просто признать, был бы человек, а статья найдётся.
Сейчас про РФ есть анекдот. У нас нет и не будет полит заключённых, так как в уголовном кодексе можно подобрать статью любому гражданину.
Короче, безопасноть от подмены сообщений посредством tls явно избыточна.
---
Совсем другой вопрос спасение tls от мелкого админа у провайдера.
- Bizdelnick
- Модератор
- Сообщения: 20793
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
Из сказанного Вами следует, что, наоборот, недостаточна.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
я не понимаю о чём речь. вот в стартпосте конкретно написали, что есть возможность административно подменить сертификат незаметно для юзера. Например, РК откажут. А вдруг яндекс браузер согласится?
А если сша попросят?
Технология шифрования tls для сайтов имеет изъян. Она избыточна и имеет проблемы.
- Bizdelnick
- Модератор
- Сообщения: 20793
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
Вы сейчас про какой сертификат говорите? Я окончательно перестаю Вас понимать. Незаметно для юзера ничего подменить нельзя.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: [ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
национальный сертификат безопасностиrssbot писал(а): ↑18.07.2019 22:48Для отключения вывода в браузерах предупреждения о применении некорректного сертификата пользователям предписано установить на свои системы "национальный сертификат безопасности", который применяется при трансляции защищенного трафика к зарубежным сайтам (например, уже фиксируется подмена трафика к Facebook).
его и не надо устанавливать "незаметно" в плане для пользователя. Пусть видит, обязать браузеры предустанавливать. Сам то пользователь ничего делать не будет.