Photo by https://en.wikipedia.org/wiki/Kazakhstan#/media/File:Kazakhstan_(orthographic_projection).svg、https://www.freepik.com/free-icon/eye-with-thick-outline-variant_737083.htm

本周Mozilla基金會與Google宣布旗下的Firefox與Chrome瀏覽器將封鎖由哈薩克政府所發行的根憑證,蘋果亦對外證實Safari已同步跟進,以避免該國政府藉由根憑證攔截並竊取當地用戶的機密資訊。

今年7月,哈薩克政府開始要求境內的連網裝置必須安裝由政府所發行的根憑證,聲稱這是一個安全憑證,可用來傳遞加密流量,以避免使用者的機密資訊外洩。

然而,Mozilla的憑證頒發機構(Certification Authority,CA)經理Wayne Thayer 解釋,各大瀏覽器都仰賴可靠的CA來發行網站的憑證,只有擁有或掌控特定網域的組織才能取得憑證,例如他便無法取得facebook.com的憑證,然而,哈薩克政府並非可靠的CA,也未遵循任何發行憑證的規則,代表該國政府可以將任何網站的憑證授予任何人,進而監控網站的加密流量。

根據估計,哈薩克境內的6,736個HTTPS伺服器中,已有459個受到影響,涉及39個網域,涵蓋Google、Facebook、Twitter、Instagram及YouTube等。

Mozilla與Google在本周發表了聯合聲明,表示當地民眾一旦安裝了政府的根憑證,便將允許政府解密與讀取民眾所輸入或張貼的內容,也能攔截民眾的帳號資訊及密碼。

Mozilla與Google都說無法容忍有政府危害瀏覽器用戶的資料,蘋果也對外證實已在Safari中封鎖了哈薩克政府的根憑證。這意謂著安裝該根憑證的用戶以Firefox、Chrome或Safari造訪臉書時,就會出現錯誤訊息而無法前往。

Mozilla則建議哈薩克居民可以透過虛擬私有網路(VPN)軟體或Tor瀏覽器來存取網路,以免遭到政府監控。至於目前微軟的立場仍有些模糊,僅說哈薩克政府並未被列在Edge或IE的可靠CA名單上,使用者必須手動安裝憑證,但這對所有瀏覽器而言都一樣,看來微軟似乎尚未決定是否封鎖該國的根憑證。


Advertisement

更多 iThome相關內容