Apple, Google, Microsoft e Mozilla hanno deciso di bloccare il certificato di root che gli utenti in Kazakhstan sono obbligati a installare per consentire al governo di intercettare il traffico delle connessioni HTTPS dei dispositivi degli utenti con la tecnica nota come MitM (Man-in-the-Middle), in altre parole permettendo di ritrasmette o alterare la comunicazione tra due parti che credono di comunicare direttamente tra di loro.
Come abbiamo già spiegato qui, con il pretesto di una “esercitazione in materia di cybersicurezza” il governo del Kazakistan sta obbligando i cittadini a installare un certificato digitale sui propri dispositivi per l’accesso a servizi internet stranieri (YouTube, Twitter, Google, ecc.)
Dal 6 dicembre Internet Service Provider (ISP) quali Beeline, Tele2 e Kcell, re-indirizzano gli utenti che si collegano da Nur-Sultan (la capitale in precedenza nota come Astana) a pagine web che mostrano le istruzioni su come installare il certificato obbligatorio del governo. Alcuni cittadini della capitale hanno ricevuto anche SMS con informazioni sulle nuove regole.
Ora Chrome, Edge, Mozilla e Safari non consentono l’installazione del certificato, e viene mostrato un messaggio errore a quanti l’hanno eventualmente installato spiegando che l’utilizzo non è consentito essendo il certificato considerato “non affidabile”.
ZDNet spiega che non è la prima volta che il governo kazako avvia simili iniziative obbligando i cittadini a installare certificati di root. Simili iniziative sono state rese obbligatorie nel dicembre 2015 e poi nel 2019, rese inutili dopo che gli sviluppatori di browser hanno indicato nelle loro blacklist i certificati di root in questione. Il certificato permette alle agenzie governative kazake di decifrare il traffico https (hypertext transfer protocol over secure socket layer) degli utenti esaminandone il contenuto, cifralo nuovamente e inviarlo alla destinazione originale. Lo scorso anno funzionari del ministero avevano dichiarato che la misura era stata attuata nel tentativo di “migliorare la protezione di cittadini, enti governativi e società private da attacchi di hacker, truffatori di internet e altri tipi di minacce informatiche”.