Наразі не відомо, яка саме організація або особа запросила та отримала ці сертифікати. Представники Fina не відповіли на електронні листи з проханням надати детальну інформацію.
Ці сертифікати є важливим елементом протоколу Transport Layer Security (TLS). Вони пов’язують конкретний домен з публічним ключем. Установа, уповноважена видавати сертифікати, що довіряються браузерами, має приватний ключ, який підтверджує дійсність сертифіката. Будь-хто, хто володіє TLS сертифікатом, може криптографічно видавати себе за домен, для якого він був виданий.
Власник сертифікатів 1.1.1.1 потенційно може використовувати їх для проведення атак «людина посередині», що перехоплюють комунікації між кінцевими користувачами та сервісом DNS від Cloudflare, повідомив Райан Херст, генеральний директор Peculiar Ventures і експерт з TLS та публічної ключової інфраструктури.
Після цього зловмисники, які володіють сертифікатами 1.1.1.1, можуть дешифрувати, переглядати та маніпулювати трафіком з сервісу DNS Cloudflare, додав Херст.
Замки з піску
Виявлення в середу вказує на суттєву слабкість публічної ключової інфраструктури, яка відповідає за забезпечення довіри всього Інтернету. Незважаючи на те, що це єдине, що гарантує, що gmail.com, bankofamerica.com або будь-який інший вебсайт контролюється тією особою чи організацією, яка стверджує про своє право, вся система може зазнати краху через одну точку відмови.
У заяві Cloudflare зазначено:
Екосистема сертифікаційних центрів — це замок, у якого багато дверей: збій одного з CA може скомпрометувати безпеку всього замку. Неправомірні дії CA, навмисні чи ні, становлять постійну та серйозну загрозу для Cloudflare. З самого початку Cloudflare допомагала розвивати та реалізовувати Сертифікатну прозорість, завдяки якій стало можливим виявлення цього неправильно виданого сертифіката.
Цей інцидент також негативно впливає на Microsoft, яка не змогла проактивно виявити неправильно видані сертифікати та дозволила Windows довгий час довіряти їм. Сертифікатна прозорість — це сайт, який в реальному часі каталогізує всі сертифікати, що довіряються браузерами, і може автоматично шукатися. Основна мета журналів — надати зацікавленим сторонам можливість швидко ідентифікувати неправильно видані сертифікати, перш ніж їх активно використовуватимуть. У цьому випадку неправильно виданий сертифікат просто помітити, оскільки IP-адреси, які використовувалися для підтвердження особи, що подавала заявку на сертифікати, контролювали домен 1.1.1.1.
Громадське виявлення сертифікатів через чотири місяці після їх видачі свідчить про те, що журнали прозорості не отримали належної уваги, на яку вони були розраховані. Невідомо, як стільки різних сторін могли не помітити сертифікати протягом такого тривалого часу.