Những người trong giới bảo mật Internet đang gióng lên hồi chuông cảnh báo về việc cấp ba chứng chỉ TLS cho 1.1.1.1, một dịch vụ DNS được sử dụng rộng rãi từ mạng phân phối nội dung Cloudflare và cơ quan đăng ký Internet của Trung tâm Thông tin Mạng Châu Á Thái Bình Dương (APNIC).
Các chứng chỉ được cấp vào tháng 5 có thể được sử dụng để giải mã các truy vấn tra cứu miền được mã hóa thông qua DNS qua HTTPS hoặc DNS qua TLS. Cả hai giao thức đều cung cấp mã hóa đầu cuối khi thiết bị người dùng cuối tìm kiếm địa chỉ IP của một miền cụ thể mà họ muốn truy cập. Hai trong số các chứng chỉ vẫn còn hiệu lực vào thời điểm bài đăng này được phát trực tuyến trên Ars.
Điều tra đang được tiến hành
Mặc dù các chứng chỉ đã được cấp bốn tháng trước nhưng sự tồn tại của chúng chỉ được công bố rộng rãi vào thứ Tư trong a bài đăng đến một diễn đàn thảo luận trực tuyến. Chúng được cấp bởi Fina RDC 2020, một cơ quan cấp chứng chỉ cấp dưới cho chủ sở hữu chứng chỉ gốc Fina Root CA. Fina Root CA, đến lượt nó, được tin cậy bởi Microsoft Root Certificate Program, điều này chi phối những chứng chỉ nào được hệ điều hành Windows tin cậy. Microsoft Edge chiếm khoảng 5 phần trăm các trình duyệt được sử dụng tích cực trên Internet.
Trong một tuyên bố gửi qua email được gửi vài giờ sau khi bài đăng này được phát trực tuyến, các quan chức của Cloudflare xác nhận các chứng chỉ đã được cấp không đúng cách. Họ viết một phần là:
Cloudflare không ủy quyền cho Fina cấp các chứng chỉ này. Khi xem báo cáo về danh sách email minh bạch chứng chỉ, chúng tôi ngay lập tức bắt đầu một cuộc điều tra và liên hệ với Fina, Microsoft và cơ quan giám sát TSP của Fina, những người có thể giảm thiểu vấn đề bằng cách thu hồi niềm tin vào Fina hoặc các chứng chỉ được cấp sai. Lúc này, chúng tôi vẫn chưa nhận được phản hồi từ Fina.
Tuyên bố tiếp tục nói rằng dữ liệu được mã hóa thông qua WARP VPN của Cloudflare không bị ảnh hưởng.
Microsoft cho biết trong một email rằng họ đã “thuê cơ quan cấp chứng chỉ để yêu cầu hành động ngay lập tức. Chúng tôi cũng đang thực hiện các bước để chặn các chứng chỉ bị ảnh hưởng thông qua danh sách không được phép của chúng tôi để giúp khách hàng được bảo vệ.” Tuyên bố đã không nói làm thế nào công ty không xác định được giấy chứng nhận được cấp không đúng trong một thời gian dài như vậy.
Đại diện của Google và Mozilla cho biết trong email rằng trình duyệt Chrome và Firefox của họ chưa bao giờ tin tưởng vào chứng chỉ và người dùng không cần phải thực hiện bất kỳ hành động nào. Một đại diện của Apple đã trả lời email với link này vào danh sách các cơ quan cấp chứng chỉ Safari tin cậy. Fina không được đưa vào.
