Kazachstan controleert https-internetverkeer via verplicht rootcertificaat

Kazachstan dwingt internetgebruikers om een rootcertificaat van de overheid te installeren. Versleuteld verkeer dat naar Twitter, YouTube, Facebook, Gmail, Mail.ru, VK.com en Tamtam.chat gaat, wordt eerst doorgestuurd naar overheidsservers. Daarna wordt het pas doorgeleid naar internetserviceproviders.

Kazachstan reageert hiermee op de wereldwijde trend van websites om naar HTTPS over te schakelen. Dit zorgt ervoor dat het internetverkeer tussen de website en de gebruiker versleuteld is, waardoor veiligheid en privacy van internetgebruikers wordt verbeterd. Google is misschien wel de grootste kracht te noemen achter de HTTPS-codering. Websites die niet beschikken over een zogeheten SSL-certificaat, worden door de internetreus onderaan bij de zoekresultaten geplaatst. Ook krijgen deze websites van zowel Google als Mozilla de stempel ‘onveilig’.

Internetserviceproviders kunnen ondanks de HTTPS-codering wel achterhalen welke websites een gebruiker bezoekt. De encryptie geeft echter geen toegang tot de specifieke informatie die wordt uitgewisseld. Iets wat overheids- en veiligheidsdiensten over de hele wereld frustreert en waar Kazachstan nu een oplossing voor heeft gevonden, aldus ZDNet.

Foutcode 403

Sinds afgelopen 18 juli verzenden providers in Kazachstan sms-berichten naar mobiele gebruikers, waarin ze worden doorverwezen naar een website. Daar wordt ze vervolgens gevraagd het certificaat te installeren. Eindgebruikers in Kazachstan melden inmiddels dat bepaalde websites en pagina’s op Facebook na installatie van het certificaat zijn geblokkeerd. Bovendien zou er ook sprake zijn van foutcode 403, een standaard HTTPS-statuscode die door een HTTP-server aan clients wordt doorgegeven om aan te geven dat toegang tot de aangevraagde website ongeldig is.

‘Autoritair en dictatoriaal’

Inwoners van Kazachstan hebben hun overheid omschreven als autoritair en dictatoriaal. Ze moedigen Mozilla, maker van de vrije opensource webbrowser Firefox, dan ook aan actie te ondernemen tegen deze veiligheidsaanval. Zo zou Mozilla onder meer ervoor kunnen zorgen dat het niet toegestaan is dat eindgebruikers certificaten installeren.

Ook zou er een waarschuwing naar gebruikers moeten uitgaan die op het punt staan een certificaat te installeren, dat deze hun privacy en beveiliging expliciet in gevaar brengt. Bovendien zou Mozilla volgens de getroffen inwoners ook gewoon het certificaat kunnen intrekken.

Nu lijkt de situatie van de 18,6 miljoen mensen in Kazachstan voor ons in eerste instantie een ver-van-mijn-bed-show. Toch kan een dergelijke privacy-inbreuk worden gerepliceerd door westerse regeringen, die allemaal hun eigen motieven hebben hun burgers nauwlettend in de gaten te houden. Variërend van terrorisme tot pornografie en schending van het auteursrecht.

Gerelateerd: Hackgroep legt 7,5 TB data gelinkt aan Russische inlichtingendienst bloot