Bezbednosna dozvola za DNS servis 1.1.1.1, koja je lažno izdata, ugrožava bezbednost interneta.
Tri neautorizovana TLS sertifikata povezana sa IP adresom 1.1.1.1, koju koriste Cloudflare i APNIC za javni DNS servis, otkrivena su u maju ove godine, ali je njihovo postojanje prijavljeno tek početkom septembra. Stručnjaci upozoravaju da ovakvi propusti mogu predstavljati ozbiljan rizik po bezbednost interneta.
Sertifikate je izdao Fina RDC 2020, autoritet u okviru Fina Root CA, koji se nalazi na listi Microsoftovih pouzdanih sertifikata. To znači da su sertifikati automatski priznati u Windows sistemima i Edge pregledaču. Međutim, osnovno pravilo nalaže da sertifikacioni autoritet mora da dokaže kontrolu nad IP adresom za koju izdaje sertifikat – što u ovom slučaju nije urađeno.
Ako bi sertifikati pali u pogrešne ruke, napadači bi mogli da izvedu “adversary-in-the-middle” napade, odnosno da presreću i dešifruju DNS saobraćaj štićen protokolima DoH (DNS over HTTPS) i DoT (DNS over TLS). Na taj način bilo bi moguće praćenje korisničkih navika ili manipulativno preusmeravanje internet saobraćaja.
Cloudflare je potvrdio da nije odobrio izdavanje spornih sertifikata i da je odmah kontaktirao izdavača i regulatorne organe.
S druge strane, Microsoft je pokrenuo proces opoziva sertifikata preko svoje “disallowed” liste, ali nije objasnio zašto greška nije otkrivena ranije.
Google, Mozilla i Apple saopštili su da njihovi pretraživači (Chrome, Firefox i Safari) nikada nisu imali poverenja u Fina Root CA, pa njihovi korisnici nisu bili izloženi riziku.
Ovaj slučaj ponovo je otvorio pitanje ranjivosti sistema sertifikacionih autoriteta, na kojima počiva poverenje u sigurnost interneta. Stručnjaci ističu da jedan loše izdat sertifikat može da ugrozi čitav ekosistem, a sistem Certificate Transparency, koji bi trebalo da obezbedi pravovremeno otkrivanje ovakvih problema, ni ovog puta nije reagovao na vreme.
Foto: Gorodenkoff / Shutterstock.com
Izvor: B92
