Оффлайн
- Регистрация
- 9 Май 2015
- Сообщения
- 1,480
- Баллы
- 155
На прошлой неделе обнаружилось, что малоизвестный удостоверяющий центр Fina выпустил 12 неавторизованных TLS-сертификатов для 1.1.1.1 (популярный DNS-сервис Cloudflare) с февраля 2024 по август 2025 года, причем без разрешения компании. Сертификаты могли использоваться для расшифровки запросов, зашифрованных посредством DNS over HTTPS и DNS over TLS.
О выпуске подозрительных сертификатов стало известно практически случайно: первым на это исследователь в рассылке Mozilla dev-security-policy.
Сертификаты были выпущены Fina RDC 2020, удостоверяющим центром, который подчиняется Fina Root CA. Вскоре выяснилось, что Microsoft доверяет сертификатам Fina Root CA, а значит, им доверяют Windows и Microsoft Edge.
Вскоре на эту ситуацию обратили внимание представители Cloudflare, которые подтвердили, что сертификаты были выпущены неправомерно.
Также в заявлении компании подчеркивалось, что проблема не затронула данные, зашифрованные посредством WARP VPN.
В свою очередь, представители Microsoft сообщили, что связались с удостоверяющим центром и потребовали предпринять немедленные действия. В компании заверили, что уже принимают меры для блокировки этих сертификатов.
Представители Google, Mozilla и Apple заявили, что их браузеры никогда не доверяли сертификатам Fina, и пользователям не нужно предпринимать никаких действий.
Проблема заключается в том, что сертификаты являются ключевой частью протокола TLS (Transport Layer Security). Они содержат открытый ключ и сведения о домене, для которого выпущены, а удостоверяющий центр (организация, уполномоченная выпускать доверенные сертификаты) владеет закрытым ключом, удостоверяющим действительность сертификата.
Удостоверяющий центр использует свой закрытый ключ, чтобы подписывать сертификаты, а браузеры проверяют их с помощью доверенных открытых ключей. Фактически это означает, что любой, кто владеет сертификатом и соответствующим ему приватным ключом, может криптографически имитировать домен, для которого тот был выпущен.
Таким образом, владелец сертификатов для 1.1.1.1 потенциально мог использовать их в атаках man-in-the-middle, перехватывая коммуникации между пользователями и DNS-сервисом Cloudflare. В итоге третьи лица, владеющие сертификатами 1.1.1.1, получали возможность расшифровывать, просматривать и модифицировать трафик DNS-сервиса Cloudflare.
В конце прошлой недели специалисты Cloudflare опубликовали об этом инциденте. Как показал проведенный компанией аудит, количество неправомерно выданных сертификатов , а не трем, как сообщалось изначально. Хуже того, первые из них были выданы еще в феврале 2024 года.
Представители Fina прокомментировали произошедшее в коротком электронном письме, сообщив, что сертификаты были «выпущены для внутреннего тестирования процесса выпуска сертификатов в производственной среде».
В удостоверяющем центре заявили, что во время выпуска тестовых сертификатов произошла ошибка «из-за неверного ввода IP-адресов». Подчеркивалось, что в рамках стандартной процедуры сертификаты были опубликованы в журналах Certificate Transparency.
В Fina заверили, что приватные ключи не покидали среду, контролируемую удостоверяющим центром, и были «уничтожены немедленно, еще до отзыва сертификатов». В компании говорят, что неправомерно выпущенные сертификаты «никоим образом не скомпрометировали безопасность пользователей и любые другие системы».
Тем не менее, в Cloudflare заявили, что воспринимают этот инцидент со всей серьезностью. В компании подчеркивают, что вынуждены «предполагать, что соответствующий закрытый ключ существует и не находится под контролем Cloudflare», поскольку нет никаких способов проверить заявления Fina.
В компании признают, что риски, которым в итоге подверглись миллионы пользователей Windows, полагающихся на 1.1.1.1, — это в том числе вина самой Cloudflare. Дело в том, что в Cloudflare не сумели реализовать регулярную проверку журналов Certificate Transparency, которые индексируют выпуск каждого TLS-сертификата, и обнаружили проблему слишком поздно.