- 20,383
- 46
- 8 Ноя 2022
У кого ключи от 1.1.1.1? Оказалось, не только у Cloudflare
В мае для DNS-сервиса 1.1.1.1, который предоставляют Cloudflare и APNIC, были выданы три TLS-сертификата. Об их существовании стало известно только в среду, когда сообщение появилось на форуме разработчиков.
Эти сертификаты могут использоваться для расшифровки DNS-запросов, защищённых протоколами DNS over HTTPS и DNS over TLS. Оба протокола обеспечивают сквозное шифрование при обращении пользователей к DNS-службе за IP-адресами сайтов. На момент публикации два сертификата оставались действующими.
Сертификаты были выданы центром Fina RDC 2020, подчинённым Fina Root CA. Последний включён в Microsoft Root Certificate Program, которая определяет, каким сертификатам доверяет Windows.
По словам представителей, сразу после обнаружения началось расследование, а запросы о блокировке и отзыве были направлены в Fina, Microsoft и надзорные органы.
Microsoft заявила, что потребовала от центра сертификации оперативных действий и инициировала блокировку сертификатов через собственный список запрещённых. Однако компания не пояснила, почему неправильно выданные ключи оставались незамеченными почти четыре месяца.
Представители Google и Mozilla сообщили, что их браузеры Chrome и Firefox изначально не доверяли сертификатам Fina, поэтому пользователям никаких действий предпринимать не требуется. В Apple в ответ на запрос прислали список доверенных центров Safari , где Fina отсутствует.
Кто именно запросил и получил эти сертификаты, установить не удалось. Представители Fina не ответили на запросы журналистов.
TLS-сертификаты — ключевой элемент протокола Transport Layer Security: они связывают домен с публичным ключом. Обладатель сертификатов для 1.1.1.1 может организовать атаку «человек посередине», перехватывая соединения с DNS-сервисом Cloudflare, а также расшифровывать, просматривать и изменять трафик.
Инцидент подчеркнул уязвимость системы публичных ключей, которая формирует основу доверия в интернете. В Cloudflare сравнили её с «замком с множеством дверей», где сбой одного центра сертификации способен поставить под угрозу всю систему. Компания напомнила, что именно инициатива Certificate Transparency помогла выявить проблему.
Отдельные вопросы вызвала и позиция Microsoft: Windows доверяла сертификатам четыре месяца, хотя логи Certificate Transparency предназначены именно для быстрого выявления подобных ошибок. То, что они остались незамеченными, показало недостаток внимания к механизму контроля.
В мае для DNS-сервиса 1.1.1.1, который предоставляют Cloudflare и APNIC, были выданы три TLS-сертификата. Об их существовании стало известно только в среду, когда сообщение появилось на форуме разработчиков.
Эти сертификаты могут использоваться для расшифровки DNS-запросов, защищённых протоколами DNS over HTTPS и DNS over TLS. Оба протокола обеспечивают сквозное шифрование при обращении пользователей к DNS-службе за IP-адресами сайтов. На момент публикации два сертификата оставались действующими.
Сертификаты были выданы центром Fina RDC 2020, подчинённым Fina Root CA. Последний включён в Microsoft Root Certificate Program, которая определяет, каким сертификатам доверяет Windows.
По словам представителей, сразу после обнаружения началось расследование, а запросы о блокировке и отзыве были направлены в Fina, Microsoft и надзорные органы.
Microsoft заявила, что потребовала от центра сертификации оперативных действий и инициировала блокировку сертификатов через собственный список запрещённых. Однако компания не пояснила, почему неправильно выданные ключи оставались незамеченными почти четыре месяца.
Представители Google и Mozilla сообщили, что их браузеры Chrome и Firefox изначально не доверяли сертификатам Fina, поэтому пользователям никаких действий предпринимать не требуется. В Apple в ответ на запрос прислали список доверенных центров Safari , где Fina отсутствует.
Кто именно запросил и получил эти сертификаты, установить не удалось. Представители Fina не ответили на запросы журналистов.
TLS-сертификаты — ключевой элемент протокола Transport Layer Security: они связывают домен с публичным ключом. Обладатель сертификатов для 1.1.1.1 может организовать атаку «человек посередине», перехватывая соединения с DNS-сервисом Cloudflare, а также расшифровывать, просматривать и изменять трафик.
Инцидент подчеркнул уязвимость системы публичных ключей, которая формирует основу доверия в интернете. В Cloudflare сравнили её с «замком с множеством дверей», где сбой одного центра сертификации способен поставить под угрозу всю систему. Компания напомнила, что именно инициатива Certificate Transparency помогла выявить проблему.
Отдельные вопросы вызвала и позиция Microsoft: Windows доверяла сертификатам четыре месяца, хотя логи Certificate Transparency предназначены именно для быстрого выявления подобных ошибок. То, что они остались незамеченными, показало недостаток внимания к механизму контроля.
- Источник новости
- www.securitylab.ru
