Основы Интернет - технологий.

На прошлой неделе обнаружилось, что малоизвестный удостоверяющий центр Fina выпустил 12 неавторизованных TLS-сертификатов для 1.1.1.1 (популярный DNS-сервис Cloudflare) с февраля 2024 по август 2025 года, причем без разрешения компании. Сертификаты могли использоваться для расшифровки запросов, зашифрованных посредством DNS over HTTPS и DNS over TLS. О выпуске подозрительных сертификатов стало известно практически случайно: первым на это обратил внимание исследователь в рассылке Mozilla dev-security-policy. Сертификаты были выпущены Fina RDC 2020, удостоверяющим центром, который подчиняется Fina Root CA. Вскоре выяснилось, что Microsoft доверяет сертификатам Fina Root CA, а значит, им доверяют Windows и Microsoft Edge. Вскоре на эту ситуацию обратили внимание представители Cloudflare, которые подтвердили, что сертификаты были выпущены неправомерно. «Cloudflare не уполномочивала Fina на выпуск этих сертификатов. Увидев отчет в рассылке certificate-transparency, мы немедленно начали расследование и обратились к Fina, Microsoft и надзорному органу TSP Fina, которые могут решить проблему, отозвав доверие к Fina или к ошибочно выданным сертификатам», — сообщали в Cloudflare. Также в заявлении компании подчеркивалось, что проблема не затронула данные, зашифрованные посредством WARP VPN. В свою очередь, представители Microsoft сообщили, что связались с удостоверяющим центром и потребовали предпринять немедленные действия. В компании заверили, что уже принимают меры для блокировки этих сертификатов. Представители Google, Mozilla и Apple заявили, что их браузеры никогда не доверяли сертификатам Fina, и пользователям не нужно предпринимать никаких действий. Проблема заключается в том, что сертификаты являются ключевой частью протокола TLS (Transport Layer Security). Они содержат открытый ключ и сведения о домене, для которого выпущены, а удостоверяющий центр (организация, уполномоченная выпускать доверенные сертификаты) владеет закрытым ключом, удостоверяющим действительность сертификата. Удостоверяющий центр использует свой закрытый ключ, чтобы подписывать сертификаты, а браузеры проверяют их с помощью доверенных открытых ключей. Фактически это означает, что любой, кто владеет сертификатом и соответствующим ему приватным ключом, может криптографически имитировать домен, для которого тот был выпущен. Таким образом, владелец сертификатов для 1.1.1.1 потенциально мог использовать их в атаках man-in-the-middle, перехватывая коммуникации между пользователями и DNS-сервисом Cloudflare. В итоге третьи лица, владеющие сертификатами 1.1.1.1, получали возможность расшифровывать, просматривать и модифицировать трафик DNS-сервиса Cloudflare. «Экосистема удостоверяющих центров — это замок с множеством дверей: сбой одного удостоверяющего центра может привести к компрометации безопасности всего замка. Неправомерное поведение удостоверяющих центров, намеренное или нет, представляет постоянную и значительную угрозу для Cloudflare. С самого начала Cloudflare помогала разрабатывать и запускать Certificate Transparency, что позволило выявить этот случай ненадлежащей выдачи сертификатов», — отмечали в Cloudflare. В конце прошлой недели специалисты Cloudflare опубликовали детальный отчет об этом инциденте. Как показал проведенный компанией аудит, количество неправомерно выданных сертификатов равнялось двенадцати, а не трем, как сообщалось изначально. Хуже того, первые из них были выданы еще в феврале 2024 года. Представители Fina прокомментировали произошедшее в коротком электронном письме, сообщив, что сертификаты были «выпущены для внутреннего тестирования процесса выпуска сертификатов в производственной среде». В удостоверяющем центре заявили, что во время выпуска тестовых сертификатов произошла ошибка «из-за неверного ввода IP-адресов». Подчеркивалось, что в рамках стандартной процедуры сертификаты были опубликованы в журналах Certificate Transparency. В Fina заверили, что приватные ключи не покидали среду, контролируемую удостоверяющим центром, и были «уничтожены немедленно, еще до отзыва сертификатов». В компании говорят, что неправомерно выпущенные сертификаты «никоим образом не скомпрометировали безопасность пользователей и любые другие системы». Тем не менее, в Cloudflare заявили, что воспринимают этот инцидент со всей серьезностью. В компании подчеркивают, что вынуждены «предполагать, что соответствующий закрытый ключ существует и не находится под контролем Cloudflare», поскольку нет никаких способов проверить заявления Fina. В компании признают, что риски, которым в итоге подверглись миллионы пользователей Windows, полагающихся на 1.1.1.1, — это в том числе вина самой Cloudflare. Дело в том, что в Cloudflare не сумели реализовать регулярную проверку журналов Certificate Transparency, которые индексируют выпуск каждого TLS-сертификата, и обнаружили проблему слишком поздно. «Мы потерпели неудачу трижды. В первый раз, потому что 1.1.1.1 — это IP-сертификат, но наша система не предупредила об этих случаях. Во второй раз, потому что даже если бы мы получали уведомления о выпуске сертификатов, как любой из наших клиентов, мы не внедрили достаточную фильтрацию. Учитывая огромное количество имен и выпусков, которыми мы управляем, невозможно обойтись ручными проверками. Наконец, из-за слишком “шумного” мониторинга мы не включали оповещения для всех наших доменов. Мы работаем над устранением всех трех этих недостатков», — пишут в Cloudflare.