[ON] В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика

[devilr]

Просто так "обязать браузеры предустанавливать" мало. Надо это как то контролировать, да чтобы ещё подобный контроль недовольств особых не вызвал. Да и неблагонадёжные граждане всё равно ведь окажутся хитрее системы.

[Bizdelnick]

обязать браузеры предустанавливать

Каким образом обязать? Пока что браузеры, наоборот, только выпиливают легальные сертификаты, едва заметив их использование для прослушки. Если какой-то из браузеров станет предустанавливать заведомо неблагонадёжный корневой сертификат, такой браузер просто перестанет существовать.

[azsx]

тогда я запутался. На что расчитывают в Казахстане власти?
Ну вот я возьму и не поставлю.

[Vascom]

На распил они рассчитывают.

[/dev/random]

тогда я запутался. На что расчитывают в Казахстане власти?
Ну вот я возьму и не поставлю.

Если не поставите, то при попытке выйти на прослушиваемый сайт у вас будет выдаваться сообщение об ошибке (примерно такое же, как при просроченном сертификате - видели, наверное). А дальше у вас 3 варианта: (1) не выходить на сайт, (2) примириться с прослушкой и нажать "добавить исключение", или (3) использовать tor, прокси, vpn или ещё что-нибудь, чтобы провайдер не понял, куда вы выходите и не смог вклиниться. Если сайт использует HSTS (как этот форум, например), то опция 2 будет недоступна.

[Bizdelnick]

Если сайт использует HSTS (как этот форум, например), то опция 2 будет недоступна.

А чем тут HSTS поможет? Помог бы HPKP, но всемогущий гугл решил, что он не нужен, да и подружить его с Let's Encrypt — небанальная задача (хотя решаемая). Помог бы и DNS CAA, но

Shell

% dig unixforum.org CAA

; <<>> DiG 9.11.5-P4-5.1-Debian <<>> unixforum.org CAA
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21113
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;unixforum.org. IN CAA

;; AUTHORITY SECTION:
unixforum.org. 60 IN SOA ns.mezon.ru. dnsmaster.mezon.ru. 2018092400 6400 3600 3600000 1800

;; Query time: 19 msec
;; SERVER: 192.168.0.2#53(192.168.0.2)
;; WHEN: Вт июл 23 18:59:18 MSK 2019
;; MSG SIZE rcvd: 99

%

Блин, DNS…

[/dev/random]

А чем тут HSTS поможет?

Если сайт использует HSTS, то браузеры убирают кнопку, позволяющую проигнорировать ошибку SSL. Сработает только вариант с установкой корневого сертификата.

Этот сайт использует Форсированное защищённое соединение HTTP (HSTS), чтобы указать, что Firefox должен подключаться к нему только через защищённое соединение. В результате, добавление исключения для этого сертификата невозможно.

Веб-сайт <адрес> использует механизм HSTS. Открыть сайт в настоящее время нельзя.