什麼是根證書？如何使用它監視您？

根證書是internet安全的一個組成部分。但是當一個政府濫用它來監視你的時候會發生什麼呢？...

2019年，新聞媒體報道說，哈薩克斯坦**採取極端措施對本國公民進行監督。特別是，**一直在使用一種叫做根證書的工具來監視公民的在線活動。

然而，根證書的濫用不僅僅是哈薩克斯坦的問題。全世界的互聯網用戶都應該意識到安全工具是如何被濫用的。這些工具可能會損害隱私，並收集有關您訪問的網站和在線發送的消息的數據。

什麼是根證書(a root certificate)？

當你瀏覽像MakeUseOf這樣的網站時，你會看到URL以https而不是http開頭。在地址欄的URL旁邊，您還會看到一個看起來像鎖的圖標。這意味著一種稱為安全套接字層/傳輸層安全性（SSL/TLS）的加密類型可以保護網站。

通過這種加密，您和網站之間傳遞的數據是安全的。所以你可以確定你訪問的網站是真正的利用，而不是一個冒名頂替的網站試圖竊取你的數據。

為了獲得用戶可以信任的鎖符號，站點所有者向一個名為證書頒發機構（CA）的組織付費來驗證它們。當CA驗證一個站點是可信的時，它會頒發一個安全證書。像Firefox和Chrome這樣的web瀏覽器的開發人員保存了一個他們接受其證書的可信ca的列表。

因此，當您訪問MakeUseOf這樣的站點時，瀏覽器會找到證書，驗證它是否來自受信任的CA，並顯示安全站點。

根證書是可用的最高級別的安全證書。它很重要，因為這個“主證書”驗證它下面的所有證書。這意味著根證書的安全性決定了整個系統的安全性。開發人員使用根證書有很多正當理由。

但是，當**或其他實體濫用根證書時，它們可以在加密通信上安裝間諜軟件並訪問私有數據。

哈薩克斯坦**如何濫用根證書？

2019年7月，哈薩克斯坦**向該國互聯網服務提供商（ISP）發佈了一份諮詢意見。**表示，互聯網服務提供商必須強制安裝**頒發的根證書，用戶才能訪問互聯網。**頒發的證書被稱為“Qaznet”，被稱為“****證書”。

ISP盡職地指導他們的客戶安裝證書，如果他們想訪問互聯網。

一旦安裝了證書，**就可以用它截獲大量的瀏覽數據。**可以在谷歌、Facebook和Twitter等熱門網站上看到活動。它甚至可以解密HTTPS和TLS連接，並訪問帳戶用戶名和密碼。

這意味著，如果安裝了證書，則沒有站點是安全的。

安全博客“黑客新聞”稱，**實質上是在全國發動“中間人”攻擊。由於ISP強制要求用戶使用證書，因此如果用戶想繼續訪問互聯網，就無法輕易地避免使用證書。

此外，人們只能通過非HTTPS連接安裝證書。用戶必須使用不太安全的HTTP連接來安裝證書。黑客可以截獲這個過程來安裝他們自己的破壞性證書。

技術公司如何應對入侵根證書？

包括谷歌（Google）、蘋果（Apple）和Mozilla在內的科技公司已經對哈薩克斯坦的情況做出了迴應。他們承諾保護用戶免受**監控。一篇博客文章稱，谷歌Chrome瀏覽器現在屏蔽了哈薩克斯坦**使用的證書。

谷歌採取這一行動是為了“保護用戶不受網站TLS連接被截獲或修改的影響”，用戶不需要採取任何措施來保護。瀏覽器將自動阻止此特定證書。

類似地，Mozilla也為其Firefox瀏覽器部署了一個解決方案。此解決方案還將阻止哈薩克斯坦**使用的證書。該公司與一位高級工程師宣佈了修復方案，他說：“我們不會輕易採取這樣的行動，但保護我們的用戶和網絡的完整性是Firefox存在的原因。”Firefox與Chrome協同工作，將自動應用該功能塊。

Mozilla還提到了過去哈薩克斯坦**試圖攔截互聯網流量的事例。這包括之前在2015年嘗試在Mozilla的受信任根存儲程序中包含根證書失敗。