Root Certificate là gì? Nó được sử dụng để giám sát online như thế nào?

Theo tin tức, vào năm 209, chính phủ Kazakhstan sẽ thực hiện các biện pháp cực đoan để giám sát công dân của họ. Đặc biệt, chính phủ sử dụng công cụ được gọi là Root certificate (chứng chỉ gốc) để theo dõi các hoạt động online của công dân.

Tuy nhiên, việc lạm dụng chứng chỉ gốc không chỉ là vấn đề ở Kazakhstan. Người dùng Internet trên thế giới nên biết về cách công cụ bảo mật này được sử dụng để giám sát online. Những công cụ này có thể xâm nhập vào quyền riêng tư và thu thập dữ liệu về trang web truy cập và tin nhắn bạn gửi online.

• 7 lý do trang web của bạn cần có chứng chỉ SSL
• Đừng tin 7 “thần thoại” về chứng chỉ SSL và HTTPS này
• Làm thế nào để xem chi tiết chứng chỉ SSL trên trình duyệt Chrome?

Root certificate là gì?

Khi duyệt trang web như Quantrimang, bạn sẽ thấy URL bắt đầu với https thay vì http. Bạn cũng sẽ thấy icon trông giống khóa cạnh URL trong thanh địa chỉ. Đây là một loại mã hóa được gọi là Secure Socket Layer/Transport Layer Security (SSL/TLS) bảo vệ trang web.

Với mã hóa này, dữ liệu truyền qua giữa bạn và trang web được an toàn. Do đó bạn có thể đảm bảo trang web đang truy cập thực sự là trang Quantrimang, không phải trang web mạo danh cố đánh cắp dữ liệu của bạn.

Để có được biểu tượng khóa người dùng tin tưởng này, chủ sở hữu trang web phải trả cho một tổ chức được gọi là Certificate Authority (CA) để xác minh chúng. Khi CA xác minh một trang web là xác thực, nó sẽ được cấp chứng chỉ bảo mật. Các nhà phát triển trình duyệt web như Firefox và Chrome giữ danh sách các CA đáng tin cậy có chứng chỉ mà họ chấp nhận.

Vì vậy, khi truy cập trang web như Quantrimang, trình duyệt của bạn tìm chứng chỉ, xác minh nó đến từ CA đáng tin cậy và hiển thị trang web an toàn.

Chứng chỉ gốc là mức chứng chỉ bảo mật cao nhất. Nó quan trọng vì chứng chỉ này xác minh tất cả các chứng chỉ bên dưới nó. Điều này có nghĩa là bảo mật của chứng chỉ gốc xác định tính bảo mật của toàn bộ hệ thống. Các nhà phát triển sử dụng chứng chỉ gốc cho nhiều lý do hợp lệ.

Tuy nhiên, khi các tổ chức lạm dụng chứng chỉ gốc, họ có thể cài đặt phần mềm gián điệp trên giao tiếp được mã hóa và truy cập dữ liệu riêng tư.

Chính phủ Kazakhstan lạm dụng chứng chỉ gốc như thế nào?

Vào tháng 7/2019, chính phủ Kazakhstan đã ban hành thông báo cho các nhà cung cấp dịch vụ Internet tại quốc gia này, yêu cầu họ phải cài đặt chứng chỉ gốc do chính phủ phát hành bắt buộc cho người dùng truy cập Internet. Chứng chỉ này được gọi là Qaznet và được mô tả là “chứng chỉ bảo mật quốc gia”.

Sau khi cài đặt chứng chỉ, chính phủ có thể sử dụng nó để chặn một lượng lớn dữ liệu duyệt web. Họ có thể xem hoạt động trên các trang phổ biến như Google, Facebook và Twitter. Nó thậm chí có thể giải mã các kết nối HTTPS và TLS, đồng thời truy cập tên người dùng và mật khẩu tài khoản. Điều này có nghĩa là không trang web nào còn an toàn nếu cài đặt chứng chỉ này.

Theo blog bảo mật The Hacker News, về cơ bản, chính phủ tung ra cuộc tấn công man in the middle trên toàn bộ đất nước. Bởi vì các nhà cung cấp dịch vụ Internet phải cài đặt chứng chỉ bắt buộc mà người dùng không thể tránh nếu họ muốn tiếp tục truy cập Internet.

Ngoài ra, người dùng chỉ có thể cài đặt chứng chỉ qua kết nối không phải HTTPS. Và hacker có thể chặn quá trình này để cài đặt chứng chỉ không an toàn của họ.

Cách các công ty công nghệ phản ứng với việc sử dụng sai chứng chỉ gốc

Các công ty công nghệ bao gồm Google, Apple và Mozilla đã phản ứng với tình hình ở Kazakhstan. Họ đã cam kết bảo vệ người dùng chống lại sự giám sát của chính phủ nước này. Trình duyệt Google Chrome hiện chặn chứng chỉ được sử dụng bởi chính phủ Kazakhstan, theo một bài đăng trên blog.

Google đã thực hiện hành động này để bảo vệ người dùng khỏi việc chặn hoặc sửa đổi các kết nối TLS được thực hiện trên các trang web. Người dùng không cần thực hiện bất kỳ hành động nào để được bảo vệ, trình duyệt sẽ tự động chặn chứng chỉ cụ thể này.

Tương tự, Mozilla đã triển khai một giải pháp cho trình duyệt Firefox. Giải pháp này cũng sẽ chặn chứng chỉ được sử dụng bởi chính phủ Kazakhstan.

Với tư cách người dùng, bạn có thể làm gì để tránh việc chứng chỉ gốc bị lạm dụng?

Việc sử dụng sai chứng chỉ gốc rõ ràng là đáng lo ngại nhưng bạn, người dùng mạng Internet có thể làm gì trong trường hợp này? Đầu tiên, không nên cài đặt chứng chỉ trên thiết bị của mình. Nếu đã cài đặt, hãy gỡ nó ngay lập tức. Bạn nên thay đổi mật khẩu tất cả các tài khoản online để ngăn các tổ chức truy cập vào dữ liệu duyệt web.

Ngoài ra, bạn cũng nên đề phòng các chứng chỉ đáng ngờ. Nếu được yêu cầu cài đặt chứng chỉ bảo mật, hãy nghiên cứu xem nó có đáng tin hay không trước khi cài đặt trên thiết bị.

Người dùng cũng nên thực hiện các bước khác để bảo vệ dữ liệu như sử dụng VPN để tránh sự giám sát. Ngoài ra, bạn cũng nên xem xét sử dụng trình duyệt Tor để truy cập Internet ẩn danh. Cẩn thận với email vì rất khó để bảo vệ nó khỏi sự giám sát. Bạn có thể xem xét sử dụng ứng dụng nhắn tin an toàn như Signal hoặc Telegram.

Tình hình ở Kazakhstan chỉ là một ví dụ về cách các tổ chức có thể theo dõi người dùng thông qua các hoạt động Internet. Bạn nên tìm hiểu về cách các công ty có thể triển khai các kỹ thuật giám sát để có thể tránh chúng.