O serviço DNS 1.1.1.1 tem três certificados emitidos incorretamente, colocando toda a Internet em risco

Em maio, três certificados TLS foram emitidos para o popular serviço DNS 1.1.1.1, fornecido pela operadora de CDN Cloudflare e pelo registrador APNIC, que agora representam uma ameaça ao funcionamento correto da Internet.

Fonte da imagem: Philipp Katzenberger / unsplash.com

Esses certificados foram emitidos pela Fina RDC 2020, subordinada ao proprietário da CA raiz da Fina, que, por sua vez, é confiável pelo “Programa de Certificados Raiz Confiáveis ​​da Microsoft” – que determina quais certificados são confiáveis ​​para o Windows. A Cloudflare confirmou que não delegou a autoridade para emitir esses certificados à Fina, o que significa que eles foram emitidos indevidamente; portanto, a empresa já entrou em contato com a Fina para tentar resolver o problema. Os dados criptografados pelo Cloudflare WARP não estavam em risco, garantiu a empresa. A Microsoft acrescentou que já está tomando medidas para bloqueá-los, mas não especificou por que os certificados emitidos indevidamente não puderam ser identificados por tanto tempo.

Esses certificados podem ser usados ​​para descriptografar solicitações quando usuários acessam domínios protegidos por criptografia de ponta a ponta usando DNS sobre HTTPS ou DNS sobre TLS. Dois deles permaneciam válidos no momento da publicação, observou a Ars Technica. Google e Mozilla afirmaram que os navegadores Chrome e Firefox nunca confiaram nos certificados Fina, e seus usuários não precisam tomar nenhuma providência. A Apple se referiu à lista de autoridades certificadoras confiáveis ​​do Safari – a Fina não consta nela. Não foi possível determinar qual organização ou pessoa solicitou esses certificados.

O incidente indica uma vulnerabilidade na infraestrutura de chave pública, responsável pelo aspecto de confiança da internet.A Cloudflare comparou esse ecossistema a uma fortaleza com muitas portas: uma falha no trabalho de um centro de certificação pode ameaçar a segurança de todos.A empresa apoiou o sistema de Transparência de Certificados desde o início, o que ajudou a detectar a emissão não autorizada de certificados. Isso também é um golpe para a reputação da Microsoft, que não identificou o problema prontamente, e o Windows confiou nesses certificados por muito tempo. O fato de o problema ter sido divulgado tão tarde indica que ninguém se preocupou em monitorar os registros de transparência.