Man-in-the-Middle
政府根 SSL 證書可能存在漏洞
我正在寫一篇關於哈薩克斯坦新政府法的文章。該法律於 12 月被接受,但現在我們的供應商之一宣布了有關如何安裝政府提供的根 SSL 證書的中小型企業資訊:https ://www.beeline.kz/b2b/sme/ru/press_centers/10040
是的,他們真的很想听聽所有公民的全部流量。
我想在我的文章中表明這是非常非常糟糕的解決方案。我需要有關它可能存在的漏洞的所有資訊。
證書有效期為 4 年,數據大小,我認為是 1024 字節。
證書連結:https ://www.beeline.kz/uploads/document/file/11120/QAZNET.rar
首先 - 請真正檢查證書,下載它,打開並查看詳細資訊(4096 位,30 年有效期)。我認為您的政府不想讓自己不安全(因此其他各方將代表它採取行動)。
如果該證書將用作其他國家頒發的證書的根(或頒發)證書,則需要它是受信任的(否則所有國家站點都不會被辨識為受信任的)。它不能用於解密您的流量(作為中間人)本身。
唯一需要回答的問題是,“Qaznet”發行者的可信度如何。沒有什麼能阻止他們(除了法律,他們會失去所有可信度)頒發例如穀歌伺服器證書,該證書將被所有擁有根/中間證書的人信任(參見http://arstechnica.com/security/2013/01 /turkish-government-agency-spoofed-google-certificate-accidentally/)。這一切都與信任有關。如果您信任 CA 提供商(Qaznet)。