Con il pretesto di una “esercitazione in materia di cybersicurezza”, il governo del Kazakistan sta obbligando i cittadini di Nur-Sultan (la capitale in precedenza nota come Astana), a installare un certificato digitali sui propri dispositivi per l’accesso a servizi internet stranieri. Dopo l’installazione, il certificato consente al governo di intercettare il traffico delle connessioni HTTPS dei dispositivi degli utenti con la tecnica nota come MitM (Man-in-the-Middle), in altre parole permettendo di ritrasmette o alterare la comunicazione tra due parti che credono di comunicare direttamente tra di loro.
ZDNet riferisce che dal 6 dicembre Internet Service Provider (ISP) quali Beeline, Tele2 e Kcell, re-indirizzano gli utenti che si collegano da Nur-Sultan a pagine web mostrando istruzioni su come installare il certificato obbligatorio del governo. Alcuni cittadini della capitale hanno ricevuto anche SMS con informazioni sulle nuove regole.
Utenti del Kazakhstan hanno riferito a ZDNet di non essere più in grado di accedere a siti quali Google, Twitter, YouTube, Facebook, Instagram e Netflix senza prima installare il certificato di root, scavalcando i meccanismi di crittografia a chiave pubblica utilizzata dai browser e dai siti HTTPS per convalidare determinati tipi di crittografia.
Non è la prima volta che il governo kazako avvia simili iniziative obbligando i cittadini a installare certificati di root. Simili iniziative sono state rese obbligatorie nel dicembre 2015 e poi nel 2019, rese inutili dopo che gli sviluppatori di browser hanno indicato nelle loro blacklist i certificati di root in questione. Il certificato permette alle agenzie governative kazake di decifrare il traffico https (hypertext transfer protocol over secure socket layer) degli utenti esaminandone il contenuto, cifralo nuovamente e inviarlo alla destinazione originale. Lo scorso anno unzionari del ministero avevano dichiarato che la misura era stata attuata nel tentativo di “migliorare la protezione di cittadini, enti governativi e società private da attacchi di hacker, truffatori di internet e altri tipi di minacce informatiche”.
