Уязвимость в сертификатах Cloudflare вызвала тревогу
Три TLS-сертификата для DNS-сервиса 1.1.1.1 были неправомерно выданы подчинённым центром сертификации Fina, что позволило бы расшифровывать защищённые данные пользователей. Microsoft начала отзывать эти сертификаты, а Cloudflare проводит расследование совместно с Fina и надзорным органом TSP.
В профессиональных кругах, занимающихся вопросами кибербезопасности, вызвали обеспокоенность выдача трёх TLS-сертификатов для DNS-сервиса 1.1.1.1, одного из наиболее популярных в мире. Услуга принадлежит компании Cloudflare и поддерживается региональным регистратором APNIC. Эти сертификаты, выданные в мае, позволяют расшифровывать запросы, защищённые протоколами DNS over HTTPS и DNS over TLS. Оба метода обеспечивают конфиденциальность передачи данных, когда устройства пользователей ищут IP-адрес нужного домена. На момент публикации поста в блоге Ars Technica два из трёх сертификатов всё ещё оставались действительными.
Источник и реакция сторон
Хотя сертификаты были выданы ещё в мае, широкой публике об этом стало известно лишь в среду, когда сообщение о них появилось в онлайн-форуме. Сертификаты были выданы подчинённым центром сертификации Fina RDC 2020, который в свою очередь подчинён корневому центру Fina Root CA. Последний доверяется программой Microsoft Root Certificate Program, которая определяет, какие сертификаты считаются надёжными в операционной системе Windows. Браузер Microsoft Edge используется около 5% активных пользователей сети.
После публикации сообщения представители Cloudflare подтвердили, что выдача сертификатов была неправомерной. В заявлении, направленном по электронной почте, компания отметила, что не давала Fina разрешения на их выпуск. После появления сообщения в списке рассылки о прозрачности сертификатов Cloudflare начала расследование и связалась с Fina, Microsoft и надзорным органом TSP, который может отозвать доверие к Fina или к самим сертификатам. На момент публикации ответа от Fina ещё не было.
В заявлении также говорилось, что данные, защищённые через WARP-VPN Cloudflare, не затронуты. Microsoft сообщила, что уже связалась с центром сертификации и потребовала срочных действий. Компания также начала добавлять сертификаты в список запрещённых, чтобы защитить пользователей. В сообщении не объяснялось, как Microsoft не заметила неправомерно выданные сертификаты в течение длительного времени.
Представители Google и Mozilla заявили, что их браузеры Chrome и Firefox никогда не доверяли этим сертификатам, поэтому пользователям не требуется никаких действий. Представитель Apple предоставил ссылку на список доверенных центров сертификации для Safari, где Fina не числится.
Непосредственное лицо или организация, запросившее и получившее сертификаты, пока не известно. Представители Fina не отвечали на запросы о дополнительной информации.
Риски для безопасности
TLS-сертификаты играют ключевую роль в протоколе безопасности Transport Layer Security. Они связывают определённый домен с публичным ключом. Центр сертификации, имеющий право выдавать сертификаты, владеет частным ключом, подтверждающим их подлинность. Кто бы ни получил эти сертификаты, он может криптографически имитировать домен, для которого они были выданы.
Ryan Hurst, генеральный директор компании Peculiar Ventures и эксперт в области TLS и инфраструктуры открытых ключей, объяснил, что обладатели сертификатов 1.1.1.1 могли бы использовать их для атак типа «человек посередине», перехватывая коммуникацию между пользователями и сервисом DNS Cloudflare. Такие атаки позволяют не только расшифровывать, но и изменять передаваемую информацию.
Уязвимости в системе доверия
Открытие сертификатов через три месяца после их выдачи выявило существенные слабости в системе доверия, лежащей в основе всей сети. Несмотря на то, что она отвечает за подтверждение контроля над доменами, такими как gmail.com или bankofamerica.com, вся система может рухнуть из-за одного сбоя. Cloudflare отметила, что экосистема сертификатов похожа на замок с множеством дверей: сбой одного центра может повредить безопасность всей системы. Неправомерные действия центров сертификации, будь то умышленные или нет, остаются серьёзной проблемой. Cloudflare с самого начала поддерживала и развивала систему прозрачности сертификатов, которая позволила выявить неправомерную выдачу.
Критика и вопросы
Инцидент также отрицательно отразился на Microsoft, так как компания не смогла вовремя выявить неправомерные сертификаты, позволяя Windows доверять им в течение длительного времени. Система прозрачности сертификатов, которая в реальном времени ведёт учёт всех выпусков, должна была помочь в быстром выявлении подозрительных сертификатов. В данном случае выдача легко заметна, так как IP-адреса, использованные для подтверждения контроля над доменом, были 1.1.1.1.
Факт публичного обнаружения сертификатов лишь через три месяца после их выдачи свидетельствует о том, что логи прозрачности не получали должного внимания. Неясно, как различные стороны могли не заметить эти сертификаты на протяжении столь долгого времени.
| Платформа | Доверяет сертификаты | Нужны действия пользователя |
|---|---|---|
| Microsoft Windows | Да | Да |
| Google Chrome | Нет | Нет |
| Mozilla Firefox | Нет | Нет |
| Apple Safari | Нет | Нет |
| Cloudflare WARP | Нет | Нет |
Когда доверие — это уязвимость: уроки из утечки сертификатов Cloudflare
Утечка трёх TLS-сертификатов для DNS-сертификатов 1.1.1.1, принадлежащих компании Cloudflare, вызвала резонанс в мире кибербезопасности. Эти сертификаты могли бы позволить злоумышленникам перехватывать и изменять зашифрованные запросы пользователей, что представляет собой серьёзную угрозу для конфиденциальности. Хотя Cloudflare быстро признала факт неправомерной выдачи и начала расследование, инцидент обнажил более широкую проблему — надёжность всей системы доверия, на которой построена кибербезопасность интернета.
Системные слабости и их последствия
Центральная идея системы TLS — доверять только проверенным сертификатам, выданным надёжными центрами. Однако инцидент с Fina RDC 2020 показывает, что даже при наличии формальных процедур контроля, надёжность может быть нарушена из-за одного слабого звена. В данном случае, центр сертификации, доверенный Microsoft, выдал сертификаты без разрешения владельца домена — Cloudflare. Это означает, что одна ошибка может повредить безопасность миллионов пользователей, особенно тех, кто полагается на Windows и Microsoft Edge.
Неочевидный вывод: если система прозрачности, которая должна фиксировать выдачу сертификатов в реальном времени, не сработала, это не просто техническая проблема, а системная. Это говорит о том, что автоматизация и надзор в безопасности не всегда синхронизированы, и человеческий фактор остаётся важным элементом, который может быть упущен.
Конфликт интересов и ответственности
В этой ситуации сталкиваются интересы трёх сторон: владельца домена (Cloudflare), центра сертификации (Fina) и операционной системы (Microsoft). Cloudflare стремится защитить своих пользователей, Microsoft — обеспечить безопасность своей экосистемы, а Fina — сохранить свою репутацию. Однако нет единой системы ответственности, которая бы ясно определяла, кто за что отвечает. Это приводит к парадоксу: чем больше доверяешь, тем больше рискуешь.
Практический урок для пользователей: важно не только использовать обновлённые версии ПО, но и регулярно проверять список доверенных центров сертификации. Особенно это актуально для тех, кто работает с государственными или финансовыми данными.
Перспективы для России и её пользователей
Для российских пользователей инцидент особенно важен, поскольку доля пользователей Windows и Microsoft Edge в стране остаётся высокой. Это означает, что российская цифровая безопасность напрямую зависит от стабильности международных стандартов кибербезопасности. В условиях, когда российские компании всё чаще вынуждены искать альтернативные инструменты и платформы, подобные утечки усиливают необходимость создания независимой, национальной системы доверия.
Что можно сделать уже сейчас:
- Следить за обновлениями операционной системы и браузеров.
- Использовать дополнительные средства защиты, такие как WARP-VPN от Cloudflare.
- Проверять список доверенных центров сертификации в настройках браузера.
- Поддерживать развитие отечественных стандартов кибербезопасности.
Заключение: доверие — это выбор, а не гарантия
Инцидент с сертификатами Cloudflare — это не просто случайная утечка, а пример системного сбоя, который может произойти в любой момент. Он показывает, что надёжность в кибербезопасности — это не статичное состояние, а постоянный процесс контроля, обновления и адаптации. Для России, где цифровая инфраструктура развивается в условиях глобальных вызовов, этот случай служит напоминанием: независимость в киберпространстве начинается с независимости в выборе инструментов и стандартов.
