Cloudflare a Asijsko-pacifické internetové centrum APNIC čelí nepříjemné situaci. V květnu byly omylem vydány tři TLS certifikáty pro IP adresu 1.1.1.1, což je jedna z nejpoužívanějších DNS služeb na světě. Dva z těchto certifikátů zůstaly platné ještě v době, kdy byl incident odhalen, což zvyšuje riziko zneužití.

Tyto certifikáty byly vydány autoritou Fina RDC 2020, podřízenou kořenovému certifikátu Fina Root CA, který je součástí Microsoft Root Certificate Programu. To znamená, že Windows automaticky důvěřovaly těmto certifikátům, přestože Cloudflare jejich vydání nikdy nepovolil.

Zdroj: Shutterstock

Co může certifikát umožnit útočníkům

TLS certifikáty jsou základním kamenem bezpečné komunikace na internetu. Slouží k vytvoření důvěryhodného propojení mezi konkrétní doménou a šifrovacím klíčem, což chrání uživatele před odposlechem či podvržením dat. Pokud se ale certifikát dostane do nepovolaných rukou, například u služby 1.1.1.1, otevírá to útočníkům zcela nové možnosti.

Mohli by dešifrovat šifrované DNS dotazy, které běží přes protokoly DNS over HTTPS (DoH) nebo DNS over TLS (DoT). Díky tomu by získali přístup k citlivým informacím, jež měly zůstat skryté. Také by mohli provádět útoky typu „man-in-the-middle“, při kterých se staví mezi uživatele a DNS servery a skrytě zachytávají či upravují přenášená data.

Ještě nebezpečnější je možnost manipulace s výsledky DNS. Útočník by mohl přesměrovat uživatele na falešné webové stránky, aniž by si toho všimli, a tím je vystavit riziku krádeže osobních údajů nebo přihlášení na podvržené služby.

Podle bezpečnostního experta Ryana Hursta ze společnosti Peculiar Ventures by takový únik certifikátu představoval vážnou hrozbu nejen pro soukromí jednotlivých uživatelů, ale i pro celkovou bezpečnost internetu.

Proč trvalo odhalení čtyři měsíce

Případ ukazuje na slabiny v systému Certificate Transparency – databáze, která veřejně zaznamenává všechny vydané TLS certifikáty. Jejím cílem je zajistit včasné odhalení neoprávněných certifikátů, ale tentokrát selhala.

Certifikáty byly vydány v květnu, ale odhaleny až po čtyřech měsících, když si jich všimli bezpečnostní analytici v online diskusním fóru. To vyvolává otázky, jak je možné, že Microsoft ani jiné subjekty problém nezaznamenaly dříve, když evidence je veřejně dostupná a strojově čitelná.

Jaké je riziko pro běžné uživatele

Pro uživatele Windows je teoretické riziko nejvyšší, protože jejich operační systém certifikátům důvěřoval. Pokud by je útočník využil k MITM útoku, mohl by sledovat šifrovanou komunikaci nebo přesměrovat dotazy na falešné servery.

Naopak uživatelé Chrome, Firefoxu nebo Safari ohroženi nejsou, protože tyto prohlížeče nikdy Fina Root CA nepovažovaly za důvěryhodnou autoritu. Přesto ale incident ukazuje, jak křehký je systém bezpečnostních certifikátů, na kterém stojí celý internet.