昨天藍(lán)點網(wǎng)提到有安全圈人士發(fā)現(xiàn) Cloudflare 運(yùn)營的公共 DNS 服務(wù)器 1.1.1.1 在未經(jīng)授權(quán)的情況下被克羅地亞 Fina CA 簽發(fā) 3 份數(shù)字證書，這些證書可以用于解密流量和進(jìn)行劫持等。

但事實證明這次事故遠(yuǎn)比想象的還要嚴(yán)重，調(diào)查顯示自 2024 年 2 月以來 Fina CA 合計為 1.1.1.1 簽發(fā) 12 份數(shù)字證書，也就是在長達(dá) 19 個月的時間里都沒人發(fā)現(xiàn)這個問題。

業(yè)界為避免出現(xiàn)錯誤頒發(fā)或違規(guī)頒發(fā)數(shù)字證書所以開發(fā)證書透明度機(jī)制 (CT)，該機(jī)制會記錄每一份數(shù)字證書的頒發(fā)信息和證書內(nèi)容，但顯然證書透明度機(jī)制沒有得到應(yīng)有的關(guān)注。

Cloudflare 稱這是不接受的安全漏洞：

該公司在接到安全圈人士反饋后便組織內(nèi)部團(tuán)隊對此事件進(jìn)行調(diào)查，調(diào)查發(fā)現(xiàn) Fina CA 簽發(fā)的并不是 3 份證書，而是自 2024 年 2 月以來合計違規(guī)簽發(fā) 12 份證書，這些證書都沒有得到 Cloudflare 的授權(quán)。

Cloudflare 稱 Fina CA 的這是事件屬于不可接受的安全漏洞，不過調(diào)查也顯示這些被違規(guī)頒發(fā)的數(shù)字證書沒有被惡意利用，即被用于以加密方式冒充 1.1.1.1 DNS 解析器提供的服務(wù)。

盡管 Cloudflare 也認(rèn)為應(yīng)該更早發(fā)現(xiàn)并應(yīng)對這些錯誤頒發(fā)的數(shù)字證書，但實際情況是 Cloudflare 和 CA 行業(yè)的其他機(jī)構(gòu)都沒發(fā)現(xiàn)問題。

Fina CA 發(fā)布回應(yīng)稱是內(nèi)部測試簽發(fā)：

此次事件的主要源頭也就是 Fina CA 公司在電子郵件回應(yīng)中表示，這些證書是為了在非生產(chǎn)環(huán)境中對證書頒發(fā)流程進(jìn)行內(nèi)部測試而頒發(fā)的，由于 IP 地址輸入錯誤導(dǎo)致測試證書頒發(fā)過程中出現(xiàn)了錯誤。

作為標(biāo)準(zhǔn)流程的一部分，這些證書已經(jīng)發(fā)布在證書透明度日志服務(wù)器上，而這些證書的私鑰仍然保留在 Fina CA 控制的環(huán)境中，并在證書被撤銷前就被立即銷毀，F(xiàn)ina CA 堅稱這些錯誤頒發(fā)的證書不會以任何方式危害用戶或任何其他系統(tǒng)。

那這是否意味著 Fina CA 沒有錯誤？這是不可能的，證書頒發(fā)過程遵循的基本原則就是只有獲得授權(quán)才能頒發(fā)，F(xiàn)ina CA 未經(jīng) Cloudflare 申請就頒發(fā)證書已經(jīng)是嚴(yán)重的違規(guī)行為。

Cloudflare 解釋為何沒能發(fā)現(xiàn)問題：

Cloudflare 稱該公司存在三次失誤，第一次是 1.1.1.1 是個 IP 數(shù)字證書，Cloudflare 的系統(tǒng)并不能針對 IP 數(shù)字證書發(fā)出警報。

第二次是即便該公司能夠收到 IP 證書警告，也沒有實施足夠的過濾措施，因為 Cloudflare 管理的域名和證書非常龐大，人工審核團(tuán)隊顯然跟不上節(jié)奏。

第三次是監(jiān)控噪音太大，也就是管理的域名和證書太多導(dǎo)致無法為所有域名啟用警報，目前 Cloudflare 正在解決這些問題。

責(zé)任方還有微軟公司，因為受害者都是微軟用戶：

我們假設(shè) Fina CA 說謊也就是私鑰被用于劫持，那此次事件最大的受害者就是微軟的用戶，因為迄今為止只有微軟和歐盟信托服務(wù)機(jī)構(gòu) (EU Trust Service) 兩家機(jī)構(gòu)信任 Fina CA。

包括谷歌、蘋果、Mozilla 等都不會信任 Fina CA，因此無論是 Chrome、Safari 還是 Firefox 都不承認(rèn) Fina CA 頒發(fā)的任何證書，所以使用這些瀏覽器的用戶不受任何影響。

而使用 Windows 和 Microsoft Edge 瀏覽器則會受到影響，因為微軟信任 Fina CA 簽發(fā)的這些證書，Web/PKI 專家表示問題不在于 1.1.1.1 證書，而是微軟為何信任這個違規(guī)的 CA 機(jī)構(gòu)。

通常情況下對于存在嚴(yán)重違規(guī)的 CA 機(jī)構(gòu)，業(yè)界都會以不信任的方式阻斷其數(shù)字證書，目前沒人知道為什么其他公司都不信任的情況下，微軟仍然信任 Fina CA。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/