カザフスタンのルートCA MITMポリシーで何が起こりましたか？

更新...

以下の回答で説明されている州が主催するMITM攻撃は、2019年8月7日（開始後約3週間）に削除されました。その間、数百のサイト、主にメール、コミュニケーション、ソーシャルメディアサイトが傍受されました。カザフスタン政府は彼らの「テストは完了した」と「成功した」と公式に述べ、市民は問題のあるルート証明書をアンインストールできると述べた。

8月下旬以降、 MozillaのFirefox 、 GoogleのChrome 、およびAppleのSafariを含む主要なブラウザベンダーはすべて、ハードコーディングされた内部ブラックリストに証明書を追加し、一部の人々はそれをローカルマシンに「インストール」したままにするイベント。

元の回答...

前の回答 が示唆しているように、このスタントでの2015/2016の試みには大きな反発があり、基本的にそれから後退してしばらくの間座っていました。 2016年1月1日の最初の締め切りが来て、実際の執行はありませんでした。 Mozillaがルート証明書を信頼するという彼らの要求 拒否されました 。 MITMの試みは、監視下に置かれたサイトの個々のケースでまだ発生していますが、広範囲に及ぶものはありません。

2019年7月まで！どうやら、彼らはアイデア自体を手放したことがなく、プロジェクトが復活し、最後の数日間で実施が開始されました多くのISPを通じて大量（2019年7月17日に最初の実装が見られる）。技術的な詳細については、この Mozillaバグレポート を参照してください。ディスカッションについては Hacker News を、ニュースについては ZDNet記事 を参照してください。

これはKCELL（KZの主要な通信会社） 英語の情報ページ です。これは、MITMされたサイトにアクセスしようとするときに、地元の人々に求められることのサンプルです。

Kcell JSCは、通信に関するカザフスタン共和国の法律およびセキュリティ証明書の発行と適用に関する規則の第11条に従って、インターネットに接続できるデバイスにセキュリティ証明書をインストールする必要があることを顧客に通知します。法律によると、通信ネットワーク事業者は、事業者とサービス契約を結んでいる顧客がモバイルデバイスにセキュリティ証明書をインストールできるようにする必要があります。

セキュリティ証明書のインストールは、インターネットへのアクセスに使用される各デバイス（iOS/Android携帯電話とタブレット、Windows/MacOSパーソナルコンピューターとラップトップ）で行う必要があるという事実に注意を向けます。

モバイルデバイスにセキュリティ証明書をインストールできないお客様は、特定のWebサイトにアクセスするときに技術的な制限に直面する可能性があります。

最初は首都（ Nur-Sultan 、以前はアスタナ）でのみ義務付けられるという報告にもかかわらず、施行はISPごとに展開されているようで、他の都市にも影響を及ぼし始めています。 。一括SMSメッセージが（主にNur-Sultanエリアのサブスクライバーに）送信され、多くの携帯電話OSに政府のルート証明書を追加する方法が説明されています。

彼らが全員にインストールを要求している証明書はQaznet Trustとして識別され、 qca.kz を通じて配布されます。すべてのHTTPSトラフィックが傍受されるという要求は政府の要求であり、問​​題のルートCA証明書はカザフスタン政府が管理するものですが、実際の傍受はISPによって実装されていることに注意してください。これの技術的な詳細はまだはっきりしていませんが、これはおそらく、すべての政府認可ISPがすべてのWebサイトトラフィックからデータを傍受できることを意味します。