Em maio, três certificados TLS foram emitidos para o popular serviço DNS 1.1.1.1, fornecido pela operadora de CDN Cloudflare e pelo registrador APNIC, que agora representam uma ameaça ao funcionamento correto da Internet.
Fonte da imagem: Philipp Katzenberger / unsplash.com
Esses certificados foram emitidos pela Fina RDC 2020, subordinada ao proprietário da CA raiz da Fina, que, por sua vez, é confiável pelo “Programa de Certificados Raiz Confiáveis da Microsoft” – que determina quais certificados são confiáveis para o Windows. A Cloudflare confirmou que não delegou a autoridade para emitir esses certificados à Fina, o que significa que eles foram emitidos indevidamente; portanto, a empresa já entrou em contato com a Fina para tentar resolver o problema. Os dados criptografados pelo Cloudflare WARP não estavam em risco, garantiu a empresa. A Microsoft acrescentou que já está tomando medidas para bloqueá-los, mas não especificou por que os certificados emitidos indevidamente não puderam ser identificados por tanto tempo.
Esses certificados podem ser usados para descriptografar solicitações quando usuários acessam domínios protegidos por criptografia de ponta a ponta usando DNS sobre HTTPS ou DNS sobre TLS. Dois deles permaneciam válidos no momento da publicação, observou a Ars Technica. Google e Mozilla afirmaram que os navegadores Chrome e Firefox nunca confiaram nos certificados Fina, e seus usuários não precisam tomar nenhuma providência. A Apple se referiu à lista de autoridades certificadoras confiáveis do Safari – a Fina não consta nela. Não foi possível determinar qual organização ou pessoa solicitou esses certificados.
O incidente indica uma vulnerabilidade na infraestrutura de chave pública, responsável pelo aspecto de confiança da internet.A Cloudflare comparou esse ecossistema a uma fortaleza com muitas portas: uma falha no trabalho de um centro de certificação pode ameaçar a segurança de todos.A empresa apoiou o sistema de Transparência de Certificados desde o início, o que ajudou a detectar a emissão não autorizada de certificados. Isso também é um golpe para a reputação da Microsoft, que não identificou o problema prontamente, e o Windows confiou nesses certificados por muito tempo. O fato de o problema ter sido divulgado tão tarde indica que ninguém se preocupou em monitorar os registros de transparência.
A Microsoft começou a testar o recurso Disc2Digital para converter jogos físicos licenciados para formato…
A Archetype Entertainment, veterana da BioWare, esclareceu um dos elementos mais obscuros de seu RPG…
A equipe de overclocking da OGS publicou um resultado de overclock de GPU para uma…
Há um mês, o Google anunciou a correção de 429 vulnerabilidades no navegador Chrome, 22…
Hoje, 1º de julho, a PlayStation já "alegrou" os usuários com notícias sobre o iminente…
O sucesso do simulador de sobrevivência Subnautica 2, da Unknown Worlds Entertainment (UW), empresa americana…