一个多月前，哈萨克斯坦开始要求其公民在浏览器中安装政府的公共根密钥。政府通过本国互联网供应商 (ISP)， 要求用户必须安装该根密钥才可访问互联网。

此举似乎是想通过中间人攻击来截获和窃听网络通信。如果攻击者控制有浏览器网络连接中一方或多方的公共根密钥，也就是说处于观察者地位的一方拥有可以解密安全通信的密钥，那么中间人攻击将变得极其容易。

如此一来，政府机构就可以解密用户的 HTTPS 流量，捕获其内容，重新加密，再发送给接收者。事实上，仅仅是拥有加密对话其中一方的密钥，就已经能够开放整个数据流以供窃听了。换句话说，即便没有安装该公共根密钥，或者采取了 VPN 等额外预防措施的通信参与方，依然会陷入监视之中。

而且，没有什么好方法可供用户分辨什么时候遭遇了此类监视；实际上，这类监视活动很可能是彻彻底底的秘密行动。

主要目标

此类监视活动的主要目标猜都能猜到：政敌、激进人士、记者和其他热衷言论自由及政治的人。毕竟，哈萨克斯坦历史上也是经历过动乱的：自 1991 年从苏联独立出来之后，哈萨克斯坦便一直处于努尔苏丹·纳扎尔巴耶夫 (Nursultan Nazarbayev) 总统的统治之下，直到 2019 年 3 月政权交由赢得 2019 年 6 月大选的卡塞姆·托卡耶夫 (Kassym-Jomart Tokayev) 执掌。

纳扎尔巴耶夫执政时期，哈萨克斯坦曾试图以同样的手段控制私密通信。2016 年，该国向主流浏览器申请，将其作为可信公共证书颁发机构，纳入浏览器根存储中。当时，该根存储权限未能获批，其中部分原因就在于对终端用户而言弊大于利。

尽管如此，哈萨克斯坦一直在努力监视其国民。2019 年 7 月 17 日，政府发表官方声明称，公共根证书 “旨在增强对公民、政府机构和私营公司的保护，避免遭遇黑客攻击、互联网诈骗和其他类型的网络威胁”。随后，当地 ISP 开始引导客户安装政府的根证书。

某些情况下，中间人监测也可以是出于好意且接受度高的。比如说，企业防火墙可能查看出入站通信，确保其中不含有恶意软件，或防止机密信息外流。同样，浏览器上的私密根也未必不好。公司可以要求其防火墙内的浏览器，在其使用自签名 CA 的私密根上，信任自身网页，允许用户加密访问的同时，防止外部攻击者创建危险的副本以执行欺骗。

PKI 武器化

然而，大规模监视的情况却不好说。与检测和吓阻欺诈不同，此类大范围监视更有可能被用作查找和监视当权者认为危险的个人。在政治艰难的环境中，这有可能给言论自由和政治行动自由带来真实威胁。

截止目前，Chrome、Firefox 和 Safari 这世界三大浏览器，已决意封禁哈萨克斯坦政府的根证书。2019 年 8 月 21 日开始，如果检测到 Web 流量是以被封根证书加密的，这些浏览器将会显示出错信息。该威胁只能在浏览器层面上解决，迫使浏览器进入考虑如何管理器可信根存储的新领域。采取封禁立场，显示出谷歌、苹果和 Mozilla 不仅仅是中立的技术提供商，还有一份保障自身技术产品使用方式的社会责任感。

哈萨克斯坦尝试攻击本国国民的举动倒是前所未见。但凡取得成功，必会有其他政府采用同样的战术针对自身民众。鉴于哈萨克斯坦持续尝试在加密通信中插入其根证书，广大互联网用户需警惕此类政府对 PKI 基础设施的武器化。