Әрбір үшінші .kz доменіндегі сайт дұрыс қорғалған. Басқалары қауіп астында
KZ‑CERT ұлттық компьютерлік инциденттерге жедел жауап беру қызметінің зерттеуі көрсеткендей, Қазақстандық сайттардың 2/3-нен астамы SSL/TLS сертификаттарының қауіпсіздік мәселелерімен бетпе-бет.
KZ-CERT Қазақстандық интернет сегментіндегі қауіпсіздік жағдайын кең ауқымда талдады. Мамандар арнайы құралды пайдаланып.kz доменіндегі 180 мыңнан астам сайтты сканерледі және олар пайдаланушы деректерін қосылу кезінде қаншалықты дұрыс қорғайтынын бағалады.
SSL/TLS сертификаттары — бұл сайттың шынайылығын растайтын және пайдаланушы мен сервер арасындағы ақпарат алмасуды қауіпсіз ететін цифрлық сенім кілттері. Олар мекен-жай жолында «құлып» белгісін және «https://» протоколын қамтамасыз етеді. Қажетті қорғаныс болмаған жағдайда деректер ашық күйге өтеді, желіге қолжетімді кез келген адам оларды ұстауы немесе өзгерте алуы мүмкін.
Бақылау нәтижелері алаңдатарлық: Қазақстандық домендік зонадағы сайттардың шамамен тек 31%-ы ғана дұрыстап, қолжетімді, сенімді сертификаттарды қолданады. Қалған 68,5% ресурстарда елеулі және өте маңызды қателер анықталған. Олардың көпшілігінде бірден бірнеше бұзушылық кездеседі.
Негізгі мәселе — домен аты сертификаттағы деректермен сәйкес болмауы: .kz зонасындағы сайттардың дерлік екі үшінші бөлігінде бұл анықталған. Бұл дегеніміз сертификат бір атқа берілген, ал сайт басқа атпен жұмыс істейді. Нәтижесінде браузерлер ресурстың шынайылығын растай алмайды және пайдаланушыларды қауіп туралы ескертеді.
Екінші орында — мерзімі өткен сертификаттар. KZ-CERT мәліметтері бойынша, сайттардың шамамен бесінші бөлігі оларды уақтылы жаңартпаған. Срок өткен кезде браузерлер қосылымды бөгеп, қауіп жөнінде ескертеді. Автоматтық жаңарту барлық жерде іске қосылмаған, ал сертификаттар мерзімі 90–398 күннен тұрғанда, тұрақты бақылаусыз олар тез қолданылмайтынға айналады.
Тағы бір жиі кездесетін қате — сенімді сертификаттау орталықтары мойындамаған өздігінен қол қойылған сертификаттарды қолдану. Мұндай сертификаттар кейде экономия немесе тест мақсатында қолданылады, бірақ олар жалпыға жария сайттарда қолданылғанда браузерлер оларды сенімсіз деп қабылдайды. Есепте шамамен 16%.kz зонасындағы ресурстар осындай сертификаттарды қолданғаны айтылған. Соңында, 2,6% сайттар HTTPS-ті мүлдем қолданбайды, яғни трафикті ешқандай шифрлаусыз өткізеді — факті бойынша ашық түрде.
Барлық осы осалдықтар «адам ортасында» (Man-in-the-Middle) түріндегі шабуылдардан бастап, контентті өзгертуге, парольдер мен токендерді ұрлауға, зиянды скрипттер енгізуге, фишингке және DNS жазбаларының рұқсатсыз өзгеруіне дейінгі киберқатерлер спектріне жол ашады. Әсіресе мемлекет органдарының, банктердің, білім беру мекемелерінің және пайдаланушылар авторизацияланатын сервистердің сайттары осал. Егер шабуыл сәтті болса, зиянкес тұлғалар құпия ақпаратқа, есептік жазбаларға және ішкі жүйелерге қол жеткізе алады.
Есепте сондай-ақ SSL/TLS конфигурациясындағы қателер тек қауіпсіздікке ғана емес, сайттардың беделіне де әсер ететіні айтылған. Заманауи браузерлер сенімсіз беттерді «қорғалмаған» деп белгілейді, бұл пайдаланушылардың сенімін азайтады және ресурстың іздеу жүйелеріндегі рейтингін төмендетеді. Коммерциялық компаниялар үшін бұл конверсияның төмендеуі және тікелей қаржылық шығындар дегенді білдіреді.
KZ-CERT мамандары кең таралған бұзушылықтардың себептерін өте жан-жақты емес деп атап көрсетеді: сайт иелері сертификаттарды жаңартуды ұмытады, автоматты жаңартуды баптамайды, тестілік немесе тегін өздігінен қол қойылған сертификаттарды қолданады, бірнеше доменге ортақ сертификатты қолданады немесе жай ғана HTTPS-ті іске қоспайды. Нәтижесінде пайдаланушылар браузер ескертулеріне тап келеді, ал олардың деректері қауіп астында қалады.
Орындалуы тиіс іс-шаралар: сайт иелеріне барлық домендерде және поддомендерде HTTPS қолдануды қосу, өздігінен қол қойылған сертификаттарды сенімді сертификаттау орталықтарының сертификаттарымен ауыстыру, автоматты жаңартуды баптау, мерзімдер мен сертификаттағы аттардың дұрыстығын қадағалау. Сондай-ақ, серверлерді және криптографиялық кітапханаларды TLS 1.2 және 1.3 протоколдарын қолдайтын заманауи нұсқаларға жаңарту, сыртқы қауіпсіздік аудитін тұрақты өткізу және сертификаттар айқынтылығын (Certificate Transparency) журналдарын бақылау маңызды.
KZ-CERT Қазақстандық домендік зонаны мониторингтеуді және ұйымдармен анықталған осалдықтарды жою аясында ынтымақтастықты жалғастырады. Мамандар сертификаттарды тұрақты тексеру және уақытылы жаңарту кез келген интернет-ресурсты пайдаланудағы ажырамас бөлікке айналуы тиіс екенін баса көрсетеді. Бұл жай техникалық міндет емес, пайдаланушылар қауіпсіздігі мен ұлттық интернет-кеңістігіне деген сенімнің тікелей тәуелді мәдениеті. Қорғалған шифрлау — бұл енді опция емес, стандарт. Және қазақстандық сайттар оны барынша жауапты қабылдаған сайын елдің цифрлық ортасы мықтырақ болады. Өйткені пайдаланушылардың сенімі уәделерде емес, нақты баптауларда тұр, онда жауапкершілік пен түсінік жатыр: заманауи интернетте деректерді қорғау — артықшылық емес, норма.
KZ-CERT мәліметі бойынша, тексеру барысында.kz домендік зонасындағы 180 мыңнан астам интернет-ресурс талданған. Олардың 68,5%-ында SSL/TLS конфигурациясында қателер анықталған, 31,5% дұрыс қорғалған. Негізгі мәселе — домен аты сертификаттағы деректерге сәйкес болмауы (63,5% жағдай).