Hırvatistan'dan bir Sertifika Organı (CA), gerekli onayı almadan 1.1.1.1 IP adresi için çeşitli sertifika yayınlamıştır. Adres, şifreli HTTP bağlantısının sorularını da kabul eden CloudFlares serbestçe kullanılabilir DNS sunucusuna aittir. Lapsus tesadüfen daha fazla halka açıldı, ama yaklaşık. Ancak, yaklaşık.
Dijital sertifikalar Web'de güvenli iletişim için gereklidir, bu nedenle katı yönergeleri tahsis etmeleri bağlıdır. Hırvat CA Fina, en azından Microsoft tarayıcılarında ve nitelikli web sitesi sertifikaları (QWAC) için AB altyapısında güvenilir olarak kabul edilse de, her zaman bu yönergelere uymadı.
Asılsız güven? Bu ürünler ve altyapılar Fina-CA tarafından verilen sertifikaları kabul eder.
Hacker News forumunun bir kullanıcısı, Fina tarafından verilen ve kendisine garip bir şekilde görünen ve çok fazla bir sınav başlatmaya başladığı bir sertifika buldu. ABD şirketinin Cloudflare'nin 2018'den beri ücretsiz bir DNS ve VPN hizmeti için kullandığı IP adresi 1.1.1.1 için sergilendi. Bu aynı zamanda HTTPS (DOH) üzerinden DNS'yi destekliyor ve geçerli bir sertifikaya ihtiyaç duyuyor. Bununla birlikte, bu FINA'dan gelmez, ancak Digicert-Hırvat CA'dan görünüşe göre IP adresini sadece test amacıyla kullanmıştı.
Cloudflare-IP için yetkisiz test sertifikaları
Ama bunu düşünmezdi. Çünkü: Dijital bir sertifika almak için, başvuranın sertifika konusundaki yetkisini-genellikle tam nitelikli bir alan adı (FQDN) veya bir IP adresi olduğunu kanıtlamalıdır. Bu, CA'nın kendisi bir sertifika, örneğin test amacıyla da geçerlidir. Ve böylece süreç hızla tarayıcı üreticisi Mozilla'nın sorumlu posta listesine girdi ve uzmanları çağırdı.
1.1.1.1 için yarım düzine sertifikaya ek olarak bireysel vaka tarafından kalmadığını tespit eden FINA, Oracle tarafından yönetilen IP adresi 2.2.2.2 için bir tane sergiledi, bazıları 10.0.0.0/8 ağdan özel IP adresleri için ve bazen Hırvatların ev sahibi adlarıyla uğraşırken şaşırtıcı yaratıcılık kanıtlamıştı. Ve dünden beri değil: 1.1.1.1 test sertifikalarının tarihi Şubat 2024'te başlıyor, bu yüzden bir buçuk yıl önce.
Cloudflare kızgın, yaklaşık.
ABD grubu çok eğlendirilmiyor ve ayrıntılı bir blog girişinde sahte pas için net kelimeler buluyor: “Fina CA'nın kabul edilemez bir güvenlik ihlali”. Ona daha fazla güvenen herkes, bu kararı kontrol etmek için doğrudan hareket etmelidir – görünüşe göre dijital çit direği ile göz kırpmalı. Buna ek olarak, Cloudflare, örneğin “Ortadaki Adam” saldırıları veya IP Adresi 1.1.1.1'in BGP kaçırmalarıyla daha fazla güvenlik ihlali ortaya çıkarması gereken bir soruşturma gerçekleştirdi.
Cloudflare ayrıca, yayınlanan her sertifikayı yıllardır Censys veya Crt.sh gibi hizmetlerle görüntülenebilen bir “ebedi günlük dosyasında” yazmak zorunda olan “Sertifika Şeffaflığı” programını da övdü. Bununla birlikte, İnternet şirketi kendilerini önemli bir şekilde kurtarmaz: yanlış çıkarılan sertifika çok geç fark edilmiştir ve gelecekte bu tür sorunlardan daha hızlı öğrenmek için ek önlemler alacaktır.
Etkilenen CA başlangıçta Cloudflare ile karşılaştırıldığında kendini haklı çıkarmıştı, ancak daha sonra bunu Mozilla Bugtracker'da halka açık bir şekilde yaptı. IP adresi yanlışlıkla test sertifikalarına eklendi, ancak hiçbir zaman FINA'nın kendi test ortamının dışında kullanılmadı. Tüm sertifikalar şimdi geri çekildi (“iptal edildi”) ve dahili prosedürleri ve belgeleri geliştirecek.
Etkiler: Kullanıcılar için düşük, neden titremeli
Bu vaatin Web PKI'nın katı bekçilerini karşılayıp karşılamadığından şüphe duyuyor. Web tarayıcılarının üreticileri ve CA/Browser Forumunda (CAB) Dijital Güven Kanıtı Yetkilileri Yetkilileri asla onlar gibi ışık omuzları almaz. Microsoft şu anda bunu hissediyor ve bir yazım hatası için bir yazım hatası ile değirmenleri çekmesi gerekiyor ve daha fazla uzatmadan, kabin üyeleri diğer CAS'dan tamamen çekiliyor.
Hırvat CA için, Microsofts ve Adobe ürünlerindeki demirleme söz konusudur ve ayrıca AB altyapısının Nitelikli Web Sertifikaları (QWAC) operatörleri sürece çok yakından bakmalıdır. Öte yandan DNS Hizmeti 1.1.1.1 kullanıcılarının rahat bir nefes almasına izin verilir: örneğin, durdurulan DNS sorguları yoluyla tehlikeyi tehdit ettikleri son derece olası değildir.
(CKU)
Bir yanıt yazın