Исследование: у DNS-сервиса 1.1.1.1 есть три неправильно выданных сертификата

Специалисты по интернет-безопасности заявили о ненадлежащей выдаче трёх TLS-сертификатов для домена 1.1.1.1. Это широко используемый DNS-сервис, предоставляемый сетью доставки контента Cloudflare и интернет-регистратором Азиатско-Тихоокеанского сетевого информационного центра (APNIC).

Сертификаты, выпущенные в мае, можно использовать для расшифровки запросов на поиск домена, зашифрованных с помощью DNS по HTTPS или DNS по TLS. Оба протокола обеспечивают сквозное шифрование, когда устройства конечных пользователей запрашивают IP-адрес определённого домена, к которому они хотят получить доступ. Два из сертификатов оставались действительными на момент публикации материала на Ars.

Сертификаты были выданы Fina RDC 2020 — центром, подчинённым владельцу корневого сертификата Fina Root CA. Fina Root CA, в свою очередь, пользуется доверием Программы корневых сертификатов Microsoft. 

Представители Cloudflare подтвердили, что сертификаты были выданы ненадлежащим образом. Провайдер отметил: «Cloudflare не уполномочила Fina выдавать эти сертификаты. Увидев отчёт в списке рассылки по вопросам прозрачности сертификатов, мы немедленно начали расследование и обратились в Fina, Microsoft и надзорный орган, который может решить проблему, отозвав доверие к Fina или к ошибочно выданным сертификатам». 

В заявлении говорится, что данные, зашифрованные с помощью WARP VPN от Cloudflare, не были затронуты.

Microsoft сообщила, что «обращается к центру сертификации с просьбой о немедленном принятии мер и предпринимает шаги по блокировке затронутых сертификатов, чтобы обеспечить защиту клиентов». В заявлении не объясняется, почему компания не смогла идентифицировать ненадлежащим образом выданный сертификат в течение столь длительного периода времени.

Пред