Em maio, três certificados TLS foram emitidos para o popular serviço DNS 1.1.1.1, fornecido pela operadora de CDN Cloudflare e pelo registrador APNIC, que agora representam uma ameaça ao funcionamento correto da Internet.
Fonte da imagem: Philipp Katzenberger / unsplash.com
Esses certificados foram emitidos pela Fina RDC 2020, subordinada ao proprietário da CA raiz da Fina, que, por sua vez, é confiável pelo “Programa de Certificados Raiz Confiáveis da Microsoft” – que determina quais certificados são confiáveis para o Windows. A Cloudflare confirmou que não delegou a autoridade para emitir esses certificados à Fina, o que significa que eles foram emitidos indevidamente; portanto, a empresa já entrou em contato com a Fina para tentar resolver o problema. Os dados criptografados pelo Cloudflare WARP não estavam em risco, garantiu a empresa. A Microsoft acrescentou que já está tomando medidas para bloqueá-los, mas não especificou por que os certificados emitidos indevidamente não puderam ser identificados por tanto tempo.
Esses certificados podem ser usados para descriptografar solicitações quando usuários acessam domínios protegidos por criptografia de ponta a ponta usando DNS sobre HTTPS ou DNS sobre TLS. Dois deles permaneciam válidos no momento da publicação, observou a Ars Technica. Google e Mozilla afirmaram que os navegadores Chrome e Firefox nunca confiaram nos certificados Fina, e seus usuários não precisam tomar nenhuma providência. A Apple se referiu à lista de autoridades certificadoras confiáveis do Safari – a Fina não consta nela. Não foi possível determinar qual organização ou pessoa solicitou esses certificados.
O incidente indica uma vulnerabilidade na infraestrutura de chave pública, responsável pelo aspecto de confiança da internet.A Cloudflare comparou esse ecossistema a uma fortaleza com muitas portas: uma falha no trabalho de um centro de certificação pode ameaçar a segurança de todos.A empresa apoiou o sistema de Transparência de Certificados desde o início, o que ajudou a detectar a emissão não autorizada de certificados. Isso também é um golpe para a reputação da Microsoft, que não identificou o problema prontamente, e o Windows confiou nesses certificados por muito tempo. O fato de o problema ter sido divulgado tão tarde indica que ninguém se preocupou em monitorar os registros de transparência.