Số lượng chứng chỉ bị cấp sai cho 1.1.1.1 đang tăng lên. Đây là thông tin mới nhất.

Phát hiện hôm thứ Tư của ba chứng chỉ TLS được cấp sai đối với dịch vụ tra cứu DNS được mã hóa 1.1.1.1 của Cloudflare đã tạo ra sự quan tâm và lo lắng mãnh liệt giữa những người thực hành bảo mật Internet. Tiết lộ này làm tăng khả năng một thực thể không xác định đã lấy được mật mã tương đương với khóa khung có thể được sử dụng để giải mã lén lút hàng triệu truy vấn DNS của users’ đã được mã hóa thông qua DNS qua TLS hoặc DNS qua HTTPS. Từ đó, những kẻ lừa đảo có thể đã đọc các truy vấn hoặc thậm chí giả mạo kết quả để gửi người dùng 1.1.1.1 đến các trang web độc hại.

Kể từ đó, thông tin và phân tích mới đã có sẵn, bao gồm cả việc cấp thêm 9 chứng chỉ kể từ tháng 2 năm 2024. Danh sách Câu hỏi thường gặp này được thiết kế để trả lời các câu hỏi được nêu ra trong các bình luận cho câu chuyện và để cung cấp thông tin mới nhất về những gì mà Lừa đã biết về vụ việc, mà Cloudflare cho biết hôm thứ Năm Fina CA,“, cơ quan cấp chứng chỉ đáng tin cậy của Microsoft (CA) chịu trách nhiệm về tất cả 12 chứng chỉ được cấp sai, đã cấu thành một sai sót không thể chấp nhận được về bảo mật.

Bạn đã hỏi; chúng tôi trả lời

Thông tin mới có được đưa ra ánh sáng kể từ sáng thứ Tư?

Vâng, nhiều chi tiết. Đầu tiên, Cloudflare nói rằng một cuộc kiểm toán mà họ thực hiện sau phát hiện này cho thấy Fina CA đã cấp sai tổng cộng 12 chứng chỉ, nhiều hơn 9 chứng chỉ so với những gì đã biết trước đó. Tất cả các chứng chỉ đã bị thu hồi.

Cloudflare cho biết họ vẫn chưa tìm thấy bất kỳ bằng chứng nào cho thấy bất kỳ dịch vụ nào trong số đó đã được sử dụng một cách độc hại, nghĩa là được sử dụng để mạo danh các dịch vụ được cung cấp bởi trình phân giải DNS 1.1.1.1 của nó. Cloudflare cho biết lẽ ra họ phải nắm bắt và phản hồi [các đợt phát hành sai] sớm hơn,“thông qua Certificate Transparency, một chương trình mà công ty giúp quản lý (sẽ nói thêm về điều đó sau).

Về phần mình, Fina CA cho biết trong một email ngắn rằng các chứng chỉ được cấp để thử nghiệm nội bộ quy trình cấp chứng chỉ trong môi trường sản xuất. Đã xảy ra lỗi trong quá trình cấp chứng chỉ kiểm tra do nhập sai địa chỉ IP. Là một phần của quy trình tiêu chuẩn, các chứng chỉ đã được xuất bản trên máy chủ nhật ký Minh bạch Chứng chỉ.”

CA tiếp tục nói rằng các khóa riêng vẫn nằm trong môi trường do Fina kiểm soát và đã bị “phá hủy ngay lập tức, ngay cả trước khi chứng chỉ bị thu hồi.” Công ty khẳng định rằng các chứng chỉ được cấp sai “không ảnh hưởng đến người dùng hoặc bất kỳ hệ thống nào khác dưới bất kỳ hình thức nào.”

Vậy có nghĩa là Fina không làm gì sai?

Không. Fina chưa bao giờ có quyền của Cloudflare để cấp chứng chỉ cho IP mà nó kiểm soát. Sự đồng ý của bên sở hữu là một quy tắc chính mà Fina đã không tuân theo.

Chứng chỉ TLS là gì? Chúng hoạt động như thế nào?

Tóm lại, các chứng chỉ này là điều duy nhất đảm bảo rằng gmail.com, bankofamerica.com hoặc bất kỳ trang web nào khác được kiểm soát bởi thực thể yêu cầu quyền sở hữu. Đến bây giờ, nhiều người dùng Internet biết rằng họ chỉ nên tin tưởng một trang web khi tên miền thực của nó xuất hiện chính xác trên thanh địa chỉ và đi kèm với nhãn HTTPS. Điều này ngăn chặn nhiều cuộc tấn công sử dụng tên miền trông giống nhau hoặc hack như ngộ độc bộ đệm DNS để tạo ra các trang web lừa đảo giả dạng là những trang web thực sự, đáng tin cậy. Không quá lời khi nói TLS là toàn bộ gốc rễ của niềm tin trên World Wide Web.

Về mặt kỹ thuật hơn, giao thức TLS cung cấp một khuôn khổ toàn diện để đảm bảo sự tin cậy này. Chứng chỉ là một phần cốt lõi của Bảo mật lớp vận chuyển, một giao thức sử dụng cặp khóa mật mã để chứng minh rằng một trang web xuất hiện trong cửa sổ trình duyệt trên thực tế là một trang web xác thực được vận hành bởi chủ sở hữu thực sự của miền chứ không phải kẻ lừa đảo chạy một trang web giống nhau.

Hệ thống phức tạp này hoạt động như thế này:

Một chủ sở hữu của một tên miền như example.com tạo ra một cặp khóa công khai-riêng tư, các khối xây dựng cơ bản của mật mã bất đối xứng. Sau đó, chủ sở hữu miền sẽ tạo một yêu cầu chứng chỉ bao gồm khóa chung của nó và thông tin nhận dạng sẽ được nhúng vào chứng chỉ. Sau đó, chủ sở hữu ký điện tử yêu cầu bằng khóa riêng để chứng minh với CA rằng trên thực tế, người yêu cầu có quyền kiểm soát khóa riêng. Cùng với đó, yêu cầu được gửi đến CA.

CA là một thực thể nhận các yêu cầu chứng chỉ, xác minh rằng người yêu cầu có quyền kiểm soát miền và cấp chứng chỉ cuối cùng theo một chế độ nghiêm ngặt được nêu trong yêu cầu cơ bản được ra lệnh bởi một cơ quan được gọi là Diễn đàn CA/Trình duyệt. Đổi lại, các nhà cung cấp trình duyệt và hệ điều hành thêm thông tin đăng nhập mật mã của CA vào kho chứng chỉ gốc của h.

Sau khi CA nhận được yêu cầu, CA phải thực hiện một số bước để xác thực yêu cầu đó. Đầu tiên, CA xác minh chữ ký số trên yêu cầu, xác nhận rằng khóa riêng đã ký yêu cầu tương ứng với khóa chung có trong nội dung yêu cầu. Tiếp theo, CA yêu cầu bằng chứng rằng người nộp đơn là chủ sở hữu hợp pháp của tên miền hoặc địa chỉ IP được yêu cầu ràng buộc với khóa chung bên trong chứng ch. Các CA khác nhau xử lý quá trình xác thực này một cách khác nhau. Nhiều yêu cầu người nộp đơn đăng mã thông báo trong bản ghi DNS cho tên miền hoặc có thể truy cập được từ địa chỉ IP được đề cập trong yêu cầu chứng chỉ.

Sau khi CA xác thực yêu cầu, CA sẽ cấp chứng chỉ. Nó chứa khóa công khai, thông tin nhận dạng của người nộp đơn và được ký bằng khóa riêng của CA. Sau đó CA trả lại chứng chỉ đã hoàn thành cho người nộp đơn. Người nộp đơn hiện là người giữ chứng chỉ.

Người giữ chứng chỉ cài đặt thông tin xác thực trên máy chủ web của mình, cùng với cặp khóa chung và khóa riêng. Từ đó trở đi, khi ai đó truy cập trang web, máy chủ sẽ sử dụng cặp khóa và chứng chỉ số của nó với giao thức TLS để xác thực chính nó và thiết lập kênh liên lạc an toàn với bên kết nối khác. Là một phần của giao thức, chứng chỉ được gửi đến bên kết nối khác làm bằng chứng cho thấy khóa công khai của máy chủ thực sự thuộc về máy chủ web/nhà điều hành trang web.

Sau khi trình duyệt kết nối nhận được chứng chỉ, nó sẽ kiểm tra xem liệu nó có được cấp (ký) bởi CA mà nó tin tưởng hay không (về mặt kỹ thuật, nếu khóa CA hoặc cha của CA được lưu trữ trong kho gốc của trình duyệt). Vấn đề khó hiểu một chút, thường có thể có một hoặc nhiều CA trung gian có khóa không có trong kho gốc mà là một phần của chuỗi chứng chỉ được liên kết bằng mật mã với CA “root” được trình duyệt tin cậy rõ ràng.

Không, nó không đổ lỗi cho nạn nhân

Sự việc này thực sự lớn đến mức nào?

Có một vài cách để trả lời điều đó. Nếu Fina đúng và các khóa riêng không bao giờ rời khỏi quyền kiểm soát của nó và sau đó bị xóa một cách an toàn thì sẽ không có nguy hiểm. Và cuối cùng, tất cả những điều này là một báo động sai.

Điều đó nói lên rằng, Cloudflare cho biết họ đang xem xét vụ việc “một cách cực kỳ nghiêm túc.” Công ty cũng cho biết họ “phải giả định rằng một khóa riêng tương ứng tồn tại [và] không nằm dưới sự kiểm soát của Cloudflare’” vì nó không có cách nào để xác minh các tuyên bố của Fina.

Lý do cho sự thận trọng là vai trò then chốt của TLS trong việc bảo mật web và sự mong manh của cơ sở hạ tầng khóa công khai mà toàn bộ hệ thống dựa vào. Gốc rễ của sự tin tưởng này có thể sụp đổ với sự thất bại của một CA duy nhất. Khi một chứng chỉ hợp lệ được cấp cho một bên trái phép, nó tầm thường cho bên đó mạo danh trang web bằng mật mã các danh sách chứng chỉ được cấp sai.

Bài báo hôm thứ Tư cho biết Cloudflare chịu trách nhiệm một phần về vụ việc vì họ đã không phát hiện ra các chứng chỉ được cấp sai cho đến khi chúng được đưa ra ánh sáng trong một nhóm thảo luận bốn tháng sau sự việc. Đó không phải là đổ lỗi cho nạn nhân sao?

Không. Cloudflare không phải là nạn nhân ở đây. Hàng triệu người dùng Windows dựa vào 1.1.1.1 là nạn nhân vì chính các truy vấn của họ có nguy cơ bị chặn. Cloudflare, giống như người giám sát tất cả các thuộc tính web, có nghĩa vụ khẳng định để bảo mật dịch vụ. Một phần nghĩa vụ đó là kiểm tra Chứng chỉ minh bạch nhật ký, lập chỉ mục việc cấp mọi chứng chỉ TLS do CA đáng tin cậy của trình duyệt cấp. Nó có một nhiệm vụ lập trình tầm thường để tự động hóa kiểm tra tính minh bạch của chứng chỉ lịch sử trên quy mô lớn.