Специалисты по интернет-безопасности заявили о ненадлежащей выдаче трёх TLS-сертификатов для домена 1.1.1.1. Это широко используемый DNS-сервис, предоставляемый сетью доставки контента Cloudflare и интернет-регистратором Азиатско-Тихоокеанского сетевого информационного центра (APNIC).
Сертификаты, выпущенные в мае, можно использовать для расшифровки запросов на поиск домена, зашифрованных с помощью DNS по HTTPS или DNS по TLS. Оба протокола обеспечивают сквозное шифрование, когда устройства конечных пользователей запрашивают IP-адрес определённого домена, к которому они хотят получить доступ. Два из сертификатов оставались действительными на момент публикации материала на Ars.
Сертификаты были выданы Fina RDC 2020 — центром, подчинённым владельцу корневого сертификата Fina Root CA. Fina Root CA, в свою очередь, пользуется доверием Программы корневых сертификатов Microsoft.
Представители Cloudflare подтвердили, что сертификаты были выданы ненадлежащим образом. Провайдер отметил: «Cloudflare не уполномочила Fina выдавать эти сертификаты. Увидев отчёт в списке рассылки по вопросам прозрачности сертификатов, мы немедленно начали расследование и обратились в Fina, Microsoft и надзорный орган, который может решить проблему, отозвав доверие к Fina или к ошибочно выданным сертификатам».
В заявлении говорится, что данные, зашифрованные с помощью WARP VPN от Cloudflare, не были затронуты.
Microsoft сообщила, что «обращается к центру сертификации с просьбой о немедленном принятии мер и предпринимает шаги по блокировке затронутых сертификатов, чтобы обеспечить защиту клиентов». В заявлении не объясняется, почему компания не смогла идентифицировать ненадлежащим образом выданный сертификат в течение столь длительного периода времени.
Представители Google и Mozilla сообщили в электронных письмах, что их браузеры Chrome и Firefox никогда не доверяли этим сертификатам, а пользователям не нужно предпринимать никаких действий. Представитель Apple ответил на электронное письмо, предоставив ссылку на список центров сертификации, которым доверяет Safari. Fina в него не вошла.
Неизвестно, какая организация или лицо запросили и получили учётные данные. Представители Fina не ответили на электронные письма с просьбой предоставить подробную информацию.
Сертификаты являются ключевой частью протокола TLS. Они привязывают определённый домен к открытому ключу. Центр сертификации, уполномоченный выдавать доверенные браузеру сертификаты, владеет закрытым ключом, удостоверяющим его действительность. Владелец сертификатов 1.1.1.1 потенциально может использовать их в активных атаках типа «злоумышленник посередине», перехватывающих соединения между конечными пользователями и DNS-сервисом Cloudflare. После этого хакеры, владеющие сертификатами 1.1.1.1, могут расшифровывать, просматривать и изменять трафик DNS-сервиса Cloudflare.
В заявлении Cloudflare отмечается: «Экосистема CA — это замок со множеством дверей: сбой в работе одного CA может поставить под угрозу безопасность всего замка. Неправомерное поведение центра сертификации, намеренное или нет, представляет серьёзную проблему для Cloudflare. С самого начала компания помогала разрабатывать и поддерживать систему Certificate Transparency, что позволило выявить этот факт ненадлежащей выдачи».
Инцидент также негативно сказывается на Microsoft, поскольку компания не смогла заблаговременно выявить ненадлежащие сертификаты и позволила Windows доверять им в течение столь длительного периода времени.
Источник: habr.com