Hırvatistan Sertifikasyon Organı (CA), gerekli onayı almadan IP 1.1.1.1 adresi için çeşitli sertifika yayınlamıştır. Adres, şifreli HTTP bağlantı isteklerini de kabul eden CloudFlans Server DNS'ye serbestçe kullanılabilir. Lapsus tesadüfen daha halka açık hale geldi, ancak yakl. Ancak, yaklaşık.
Dijital sertifikalar Web'de güvenli iletişim için gereklidir, bu nedenle titiz yönergeleri tahsis etmeleri bağlıdır. Hırvat CA Fine, en azından Microsoft tarayıcılarında ve Nitelikli Web Siteleri Sertifikaları (QWAC) için AB altyapısında güvenilir olduğu düşünülse bile, bu yönergelere her zaman katılmamıştır.
Güvenilir asılsız mı? Bu ürünler ve altyapılar para cezası tarafından verilen sertifikaları kabul eder.
Hacker News forumunun bir kullanıcısı, Fina tarafından tuhaf görünen ve zorluk sınavına başladığı bir sertifika buldu. ABD şirketinin Cloudflare'nin 2018'den beri ücretsiz bir DNS ve VPN hizmeti için kullandığı IP adresi 1.1.1.1 için sergilendi. Bu aynı zamanda HTTPS'de (DOH) DNS'yi destekliyor ve geçerli bir sertifikaya ihtiyaç duyuyor. Bununla birlikte, bu Fina'dan gelmez, ancak Digicert-La Ca Hırvatça'dan IP adresini sadece test amacıyla kullanmıştı.
Cloudflare-IP için yetkisiz test sertifikaları
Ama düşünmezdi. Çünkü: Dijital bir sertifika almak için, başvuru sahibinin genellikle tamamen nitelikli bir alan (FQDN) (FQDN) veya bir IP adresi olan sertifika hakkındaki yetkisini göstermesi gerekir. Bu, CA'nın kendisi bir sertifika yayarsa, örneğin test amacıyla da geçerlidir. Ve böylece süreç hızla tarayıcı Mozilla üreticisinden sorumlu posta listesine indi ve uzmanları davet etti.
1.1.1.1 için yarı düzine sertifikada tek bir durumdan kalmadığı keşfedildi, FINA ayrıca Oracle tarafından yönetilen IP 2.2.2 adresi için bir tane gösterdi, bazıları 10.0.0/8-e kdece, Hırvatların konuk isimleriyle uğraştıklarında olağanüstü bir yaratıcılığa sahip olduğu ağdan özel IP adresleri için. Ve dünden beri değil: Test sertifikalarının hikayesi 1.1.1.1 Şubat 2024'te başlıyor, bu nedenle bir buçuk yıl önce.
Cloudflare kızgın, ca.
ABD grubu çok eğlendirilmiyor ve blogdaki ayrıntılı bir yazıda sahte pas için net kelimeler buluyor: “Fina CA'nın kabul edilemez güvenliğinin ihlali”. Ona güvenen herkes, bu kararı kontrol etmek için daha doğrudan hareket etmeli, görünüşe göre dijital çit direği ile göz kırpmalı. Buna ek olarak, Cloudflare, örneğin “Ortadaki Adam” saldırıları veya IP 1.1.1 adresinin BGP'sini kaçırma yoluyla daha fazla güvenlik ihlalini ortaya koyması gereken bir soruşturma gerçekleştirdi.
Cloudflare ayrıca, Censys veya Crt.sh gibi hizmetler aracılığıyla görüntülenebilecek yıllardır “Ebedi Kayıt Dosyası” nda verilen herhangi bir sertifika yazmak zorunda kalan “Sertifikanın Şeffaflığı” programını da övdü. Bununla birlikte, İnternet Topluluğu kendini önemli ölçüde kurtarmaz: Yayılan sertifika çok geç fark edilmiştir ve şimdi gelecekte bu tür sorunlardan daha hızlı öğrenmek için daha fazla önlem alacaktır.
Etkilenen CA başlangıçta Cloudflare ile karşılaştırıldığında kendini haklı çıkarmıştı, ancak daha sonra Mozilla Bugtracker'da da halka açık bir şekilde yaptı. IP adresi yanlışlıkla test sertifikalarına eklendi, ancak FINA test ortamı dışında hiç kullanılmamıştı. Tüm sertifikalar geri çekildi (“iptal edildi”) ve dahili prosedürleri ve belgeleri geliştirecektir.
Etkiler: Kullanıcılar için düşük, neden titremeli
Bu vaatin Web PKI'nın titiz velayetlerini tatmin edip etmediği şüphelidir. Web tarayıcısı üreticileri ve CA/Tarayıcı Forumu'ndaki (CAB) ödül kazanan deneme yetkilileri asla onlar kadar hafif okumayı almaz. Microsoft şu anda duyuyor ve değirmenleri bir dayak hatası için bir dayak hatasından çekmeli ve daha fazla gecikme olmadan, kabin üyeleri diğer yakl.
Hırvat yaklaları için, Microsoft ve Adobe'nin demirleme ürünleri tehlikede ve ayrıca Nitelikli Web Sertifikaları (QWAC) için AB altyapı operatörleri süreci yakından incelemelidir. Öte yandan DNS Hizmeti 1.1.1.1 kullanıcıları rahat bir nefes verebilirler: örneğin durdurulan DNS sorgusu ile tehlikeyi tehdit eden, son derece olası değildir.
(CKU)
Bir yanıt yazın