Trong một động thái để bảo vệ người dùng của mình có trụ sở tại Kazakhstan khỏi sự giám sát của chính phủ, Google, Apple và Mozilla cuối cùng đã đưa ra và chặn chứng chỉ CA gốc do chính phủ cấp của Kazakhstan trong phần mềm duyệt web tương ứng của họ.
Kể từ hôm nay, người dùng Chrome, Safari và Firefox ở Kazakhstan sẽ thấy thông báo lỗi cho biết chứng chỉ “Qaznet Trust Network“ không đáng tin cậy khi cố gắng truy cập trang web phản hồi với chứng chỉ do chính phủ cấp.
Như SSL.vn đã viết vào tháng trước, tất cả các Nhà cung cấp dịch vụ Internet (ISP) lớn của Kazakhstan đang buộc khách hàng của họ cài đặt chứng chỉ gốc do chính phủ cấp trên thiết bị của họ để lấy lại quyền truy cập vào các dịch vụ Internet của họ.
Chứng chỉ gốc đang được đề cập, được gắn nhãn là ” chứng chỉ tin cậy ” hoặc “chứng chỉ bảo mật quốc gia”, nếu được cài đặt, cho phép các ISP chặn, giám sát và giải mã các kết nối HTTPS và TLS được mã hóa của người dùng, giúp chính phủ theo dõi 18 triệu người và kiểm duyệt nội dung.
Sau khi được cài đặt, chứng chỉ cho phép chính phủ Kazakhstan giải mã và đọc bất cứ thứ gì người dùng truy cập vào các trang web phổ biến, Facebook, Twitter và Google, trong số các loại hoặc bài đăng khác, bao gồm chặn thông tin tài khoản và mật khẩu của họ.
“Khi người dùng ở Kazakhstan cài đặt chứng chỉ gốc do ISP cung cấp, họ sẽ chọn tin tưởng một CA không phải tuân theo bất kỳ quy tắc nào và có thể cấp chứng chỉ cho bất kỳ trang web nào cho bất kỳ ai”, Mozilla giải thích trong một bài đăng trên blog được xuất bản hôm nay.
“Điều này cho phép chặn và giải mã các liên lạc mạng giữa Firefox và trang web, đôi khi được gọi là một cuộc tấn công Monster-in-the-Middle (MITM).”
Việc cài đặt chứng chỉ CA gốc tùy chỉnh không chỉ cho phép chính phủ giám sát các hoạt động trực tuyến của công dân mà còn khiến họ có nguy cơ bị tấn công kỹ thuật xã hội như một cơ hội cho tin tặc lừa người dùng cài đặt chứng chỉ gốc độc hại từ các trang web và nguồn không chính thức .
Sau khi đối mặt với sự chỉ trích trên toàn thế giới, chính phủ Kazakhstan đã mô tả việc tung ra giấy chứng nhận ban đầu là một thử nghiệm để theo dõi các mối đe dọa trên mạng và sau đó từ bỏ kế hoạch ngăn chặn lưu lượng truy cập internet của công dân.
“Chúng tôi sẽ không bao giờ dung thứ cho bất kỳ nỗ lực nào, bởi bất kỳ tổ chức nào của chính phủ, hay nói cách khác là thỏa hiệp với dữ liệu của người dùng Chrome. Giám đốc kỹ thuật cao cấp, Chrome.
“Không có hành động nào cần thiết cho người dùng để được bảo vệ. Ngoài ra, chứng chỉ sẽ được thêm vào danh sách chặn trong mã nguồn Chromium và do đó nên được đưa vào các trình duyệt dựa trên Chromium khác trong khóa học do”, Google cho biết .
Mặc dù Apple chưa công bố bất kỳ bài đăng trên blog nào, nhưng người phát ngôn của công ty đã liên hệ với The Hacker News để xác nhận rằng trình duyệt web Safari của họ cũng chặn chứng chỉ CA gốc do chính phủ Kazakhstan cấp.
“Apple tin rằng quyền riêng tư là quyền cơ bản của con người và chúng tôi thiết kế mọi sản phẩm của Apple từ đầu để bảo vệ thông tin cá nhân. Chúng tôi đã hành động để đảm bảo chứng chỉ không được Safari tin tưởng và người dùng của chúng tôi được bảo vệ khỏi vấn đề này”, phát ngôn viên của Apple nói với The Hacker News qua email.
Đây không phải là lần đầu tiên khi chính phủ Kazakhstan chặn lưu lượng truy cập internet của công dân.
Vào năm 2015, chính phủ đã cố gắng có chứng chỉ gốc trong chương trình lưu trữ gốc đáng tin cậy của Mozilla, nhưng công ty đã từ chối yêu cầu ngay khi phát hiện ra rằng chính phủ Kazakhstan đang có ý định sử dụng chứng chỉ đó để chặn dữ liệu người dùng.
Cả Google và Mozilla đều khuyến khích bạn xóa chứng chỉ gốc của chính phủ Kazakhstan khỏi thiết bị của bạn nếu bạn đã cài đặt nó và thay đổi mật khẩu cho từng tài khoản trực tuyến của bạn ngay lập tức.