Google和Mozilla阻止ISP强制安装证书行为

原文链接： https://www.linuxprobe.com/google-mozilla.html

导读	Google和Mozilla正在采取行动反对哈萨克斯坦政府对其本国公民开展基于证书的监视行动。

两家公司今天宣布，他们正在联手在浏览器中阻止哈萨克斯坦政府上个月颁发的根证书，该证书允许它监控任何安装它的用户的加密互联网活动。政府要求该国ISP合作，强制所有客户安装证书以获得互联网访问权限。

根据密歇根大学发表的一项研究报告表明，它允许哈萨克斯坦政府对包括Facebook，Twitter，谷歌等37个域名的HTTPS连接进行“中间人”或MitM攻击。 通常，HTTPS网站的加密方式会让包含ISP在内的第三方无法访问它。就哈萨克斯坦而言，MitM攻击打破了这些网站的加密机制，允许自由监视私人互联网活动。

在行动完成后，最为流行的Chrome和Firefox浏览器都会禁止非法证书。 Mozilla将使用OneCRL阻止哈萨克斯坦的根证书，自2015年以来，Firefox一直用它来撤销证书。之前，在哈萨克斯坦访问互联网的用户的智能手机或计算机上会收到一条消息，要求他们安装根证书。

现在，当Firefox在哈萨克斯坦检测到证书时，它将阻止连接并显示错误消息。 Chrome也会阻止该证书，此外，它还将这一规则添加到Chromium源代码中的阻止列表中，并在将来包含在其他基于Chromium的浏览器中。

由于哈萨克斯坦几周前停止要求用户安装证书，现在看来，此举似乎是不必要的。据路透社报道，哈萨克斯坦政府本月早些时候在面临法律挑战后停止了其监控证书的部署，原因是一批哈萨克斯坦律师起诉该国三家移动运营商限制互联网接入。哈萨克斯坦国家安全委员会作出回应，他们发布了一份声明，称证书推出是一项“测试”，现已完成。

Mozilla承认该公司已经知道哈萨克斯坦结束了这项测试。但是，如果安装了证书，用户仍可能容易受到攻击。 “虽然政府的测试显然已经结束，但它可以用来监视网络流量的机制仍然存在。而且一些用户可能仍然安装了这个恶意证书。这些用户仍然很脆弱，即使攻击没有持续，我们也没有等待漏洞被再次利用，将设法直接解决它。”

Mozilla还表示将继续监督哈萨克斯坦政府的行动，并将在未来签发类似证书时采取再次行动。

原文来自：https://www.linuxprobe.com/google-mozilla.html