ФСБ, Минкомсвязь и Минпромторг РФ обсуждают внедрение средств для анализа HTTPS-трафика

По сведениям издания "Коммерсант" ФСБ, Минкомсвязь и Минпромторг РФ приступили к обсуждению возможности массового внедрения в сети провайдеров систем глубокого инспектирования пакетов (DPI), способных анализировать содержимое сеансов HTTPS. В качестве наиболее реалистичной схемы компрометации HTTPS называется вклинивание в канал связи по образу MITM-атак, при которых на стороне оператора создаётся прозрачный прокси, который при установке HTTPS-соединения притворяется для клиента целевым сайтом, транслируя обращения к этому сайту и подменяя реальный сертификат целевого сайта на фиктивный сертификат.
Для того чтобы скрыть подмену сертификата от браузеров, которые при подмене сертификата выведут предупреждение о небезопасном соединении, предлагается использовать сертификаты специально созданного отечественного удостоверяющего центра. Каким образом планируется добавить корневой сертификат данного удостоверяющего центра на конечные системы пользователей не сообщается. Производители браузеров никогда не одобрят включение подобного удостоверяющего центра в состав своих хранилищ сертификатов. Кроме того, проведение массовых MITM-атак подразумевает применение не привязанного к конкретным доменам универсального сертификата, который в случае массового внедрения подобных DPI-систем, может быть извлечён из оборудования, попасть не в те руки и использован в деятельности злоумышленников.

Также по теме: