2019 年 7 月 25 日 Trevor Collins 著

カザフスタンが先週導入した新しいポリシーは、ISP に対して、HTTPS トラフィックの検査を義務付けるものであり、その変更の目的は、ユーザの安全を強化するためであるとされています。しかしながら、この変更によって、カザフスタンで HTTPS の Web サイトを閲覧するすべてのユーザが、政府が署名した証明書をインストールしなければならなくなります。その結果、カザフスタン政府はこの証明書によって、カザフスタンのユーザのインターネットトラフィックを密かに調査できるようになります。さらに、この変更によって、カザフスタンでのブラウザのセキュリティにもう 1 つの障害点が追加されることにもなります。

Web トラフィックがカザフスタンの証明書のような MitM（man-in-the-middle）証明書によって署名されている場合、ユーザが Web サーバの本来の証明書を見ることはありません。MitM 証明書の提供者だけが最終的なサーバ証明書を検査でき、ユーザの手からその証明書によるセキュリティが抜き取られ、政府へと渡されることになります。まるで、MitM 攻撃が国民を保護する良い方法だと政府が考えているかのようです。

カザフスタンは 2015 年にも、今回と同じポリシーを導入しようとしましたが、訴訟を起こされ、断念しました。国民のトラフィックを調査しても彼らの安全性が強化されるわけではないことをカザフスタン政府が理解し、政府の証明書のダウンロードを強制するのを中止するよう願っています。証明書のダウンロードを強制されていると感じた場合は、別の接続を探すか、少なくともそのネットワーク経由で個人情報を送信することのないよう注意することをお勧めします。詳細については、こちらのリンクを参照してください。