Ljudi u krugovima posvećenima internetskoj sigurnosti upozoravaju na izdavanje tri certifikata TLS za 1.1.1.1, široko korištenu DNS uslugu mreže za isporuku sadržaja Cloudflare i internetskog registra Asia Pacific Network Information Centre (APNIC), piše tportal.
Certifikate, izdane u svibnju, moguće je koristiti za dešifriranje upita vezanih uz pretraživanje domena šifriranih putem DNS-a preko HTTPS-a ili DNS-a preko TLS-a. Oba protokola pružaju enkripciju od pošiljatelja do primatelja kada uređaji krajnjih korisnika traže IP adresu određene domene kojoj žele pristupiti.
Objava na forumu
Iako su certifikati izdani prije četiri mjeseca, njihovo postojanje postalo je javno poznato tek 3. rujna, zahvaljujući objavi na online forumu. Izdalo ih je Fina RDC 2020, tijelo za izdavanje certifikata, podređeno vlasniku korijenskog certifikata Fina Root CA.
Tom tijelu pak vjeruje Microsoftov program za korijenske certifikate i upravlja time kojim certifikatima vjeruje operativni sustav Windows, a Microsoft Edge čini otprilike pet posto web preglednika koje se aktivno koristi na internetu. Dužnosnici Cloudflarea potvrdili su da su ti certifikati nepravilno izdani i istaknuli da nisu ovlastili Finu za njihovo izdavanje.
'Nakon što smo vidjeli izvješće na popisu e-pošte za transparentnost certifikata, odmah smo pokrenuli istragu i kontaktirali s Finom, Microsoftom i nadzornim tijelom koje nadzire Finu, a koji mogu ublažiti problem opozivom povjerenja u Finu ili pogrešno izdane certifikate', naveli su u izjavi za javnost.
Blokiranje certifikata
Dodali su da podaci šifrirani putem Cloudflareova WARP VPN-a nisu bili pogođeni. Microsoft je rekao da je 'angažirao tijelo za izdavanje certifikata kako bi zatražilo hitnu akciju'. Također poduzimaju korake za blokiranje pogođenih certifikata putem njihovog popisa zabranjenih certifikata da bi zaštitili korisnike.
Nisu objasnili kako to da nisu uspjeli identificirati nepravilno izdan certifikat toliko dugo. Google i Mozilla su poručili da njihovi preglednici Chrome i Firefox nikada nisu vjerovali tim certifikatima, pa korisnici ne trebaju poduzeti nikakve radnje, a Apple je uputio na poveznicu na popis tijela za izdavanje certifikata kojima vjeruje Safari. Fina nije bila uključena. Zasad nije poznato koja je organizacija ili osoba zatražila i dobila vjerodajnice.
