Ваш DNS-трафик был под угрозой? Скандал вокруг Cloudflare 1.1.1.1 и поддельных сертификатов
Недавно вскрылась серьезная уязвимость: малоизвестный удостоверяющий центр Fina, начиная с февраля 2024 и по август 2025 года, создал 12 несанкционированных TLS-сертификатов для популярного DNS-сервиса Cloudflare 1.1.1.1. Компания не давала на это никакого разрешения, а наличие таких сертификатов создавало риск расшифровки пользовательских запросов, защищенных через DNS over HTTPS и DNS over TLS.
Случайное разоблачение
Тревогу забил один из исследователей в почтовой рассылке Mozilla dev-security-policy, что и привлекло внимание к проблеме. Оказалось, что сертификаты были выпущены Fina RDC 2020, центром, входящим в структуру Fina Root CA. Ситуацию усугубляло то, что Fina Root CA пользовался доверием Microsoft, а это значит, что операционные системы Windows и браузер Microsoft Edge автоматически считали эти сертификаты легитимными.
Реакция IT-гигантов
Представители Cloudflare оперативно подтвердили, что выпуск сертификатов был неправомерным.
«Cloudflare не давала Fina полномочий на выпуск этих сертификатов. Как только мы увидели отчет в рассылке certificate-transparency, мы немедленно инициировали расследование и связались с Fina, Microsoft и надзорным органом TSP Fina для решения проблемы путем отзыва доверия», — заявили в компании.
В Cloudflare также поспешили заверить, что данные, передаваемые через их сервис WARP VPN, остались в безопасности.
Microsoft отреагировала на инцидент, сообщив, что потребовала от удостоверяющего центра немедленных действий и уже предпринимает шаги для блокировки неавторизованных сертификатов.
В то же время Google, Mozilla и Apple заявили, что их браузеры никогда не включали Fina в список доверенных центров, поэтому их пользователям ничего не угрожало и никаких действий предпринимать не нужно.
Чем опасны поддельные сертификаты?
Сертификаты — это основа протокола TLS (Transport Layer Security). Они содержат публичный ключ и информацию о домене, а удостоверяющий центр (УЦ) владеет соответствующим закрытым ключом для подтверждения их подлинности. Используя свой закрытый ключ, УЦ подписывает сертификаты, а браузеры проверяют эту подпись.
Это означает, что любой владелец сертификата и парного ему приватного ключа может криптографически выдать себя за домен, для которого этот сертификат был выпущен. В данном случае злоумышленники, завладевшие сертификатами для 1.1.1.1, могли бы осуществлять атаки «человек посередине» (man-in-the-middle), перехватывая данные между пользователями и DNS-сервисом Cloudflare. Это дало бы им возможность расшифровывать, просматривать и даже изменять DNS-трафик.
«Экосистема удостоверяющих центров подобна замку с множеством дверей: уязвимость одного центра ставит под угрозу безопасность всего замка. Некорректные действия УЦ, будь то умышленные или случайные, являются постоянной угрозой для нас. Cloudflare с самого начала участвовала в разработке и внедрении Certificate Transparency — технологии, которая и помогла выявить этот инцидент», — подчеркнули в Cloudflare.
Результаты расследования и признание ошибок
Внутренний аудит Cloudflare, результаты которого были опубликованы в детальном отчете, показал, что было выпущено не три, а двенадцать нелегитимных сертификатов. Более того, первые из них появились еще в феврале 2024 года.
Представители Fina в коротком электронном письме объяснили инцидент «внутренним тестированием процесса выпуска сертификатов», в ходе которого произошла ошибка «из-за неверно введенных IP-адресов». Они также утверждали, что все тестовые сертификаты были, как и положено, опубликованы в логах Certificate Transparency, а приватные ключи никогда не покидали их защищенную среду и были «немедленно уничтожены». По их словам, инцидент не представлял угрозы для безопасности пользователей.
Однако в Cloudflare отнеслись к ситуации с максимальной серьезностью. Поскольку проверить заявления Fina невозможно, компания вынуждена исходить из худшего сценария: «предполагать, что соответствующий закрытый ключ существует и не находится под контролем Cloudflare».
Более того, в Cloudflare признали и свою долю ответственности за то, что миллионы пользователей Windows оказались под угрозой. Компания не смогла вовремя обнаружить проблему из-за недостатков в собственной системе мониторинга логов Certificate Transparency.
«Мы потерпели неудачу трижды. Во-первых, наша система не среагировала на выпуск сертификатов для IP-адреса 1.1.1.1. Во-вторых, даже если бы уведомления пришли, у нас не была настроена должная фильтрация для обработки огромного объема данных. И в-третьих, из-за большого количества “шума” в оповещениях, мы отключили их для части наших доменов. Мы уже работаем над устранением всех трех недостатков», — говорится в заявлении Cloudflare.