Những người trong giới bảo mật Internet đang đưa ra cảnh báo về việc cấp phát ba chứng chỉ TLS cho 1.1.1.1, một dịch vụ DNS được sử dụng rộng rãi từ mạng phân phối nội dung Cloudflare và sổ đăng ký Internet Trung tâm Thông tin Mạng Châu Á Thái Bình Dương (APNIC).

Các chứng chỉ, được cấp vào tháng 5, có thể được sử dụng để giải mã các truy vấn tra cứu tên miền được mã hóa thông qua DNS qua HTTPS hoặc DNS qua TLS. Cả hai giao thức đều cung cấp mã hóa đầu cuối đến đầu cuối khi các thiết bị người dùng cuối tìm kiếm địa chỉ IP của một tên miền cụ thể mà họ muốn truy cập. Hai trong số các chứng chỉ vẫn còn hiệu lực tại thời điểm bài đăng này được phát hành trên Ars.

Cuộc điều tra đang diễn ra

Mặc dù các chứng chỉ được cấp bốn tháng trước, sự tồn tại của chúng chỉ được công chúng biết đến vào thứ Tư trong một bài đăng trên diễn đàn thảo luận trực tuyến. Chúng được cấp bởi Fina RDC 2020, một cơ quan chứng nhận phụ thuộc vào người nắm giữ chứng chỉ gốc Fina Root CA. Fina Root CA, đến lượt nó, được tin cậy bởi Chương trình Chứng chỉ Gốc Microsoft, chương trình này quản lý những chứng chỉ nào được tin cậy bởi hệ điều hành Windows. Microsoft Edge chiếm khoảng 5% các trình duyệt được sử dụng tích cực trên Internet.

Trong một tuyên bố qua email được gửi vài giờ sau khi bài đăng này được phát hành, các quan chức Cloudflare xác nhận rằng các chứng chỉ đã được cấp không đúng cách. Họ viết một phần:

Cloudflare không ủy quyền cho Fina cấp những chứng chỉ này. Khi thấy báo cáo trên danh sách email minh bạch chứng chỉ, chúng tôi ngay lập tức bắt đầu cuộc điều tra và liên hệ với Fina, Microsoft, và cơ quan giám sát TSP của Fina – những người có thể giảm thiểu vấn đề bằng cách thu hồi sự tin cậy vào Fina hoặc các chứng chỉ được cấp sai. Tại thời điểm này, chúng tôi vẫn chưa nhận được phản hồi từ Fina. Tuyên bố tiếp tục nói rằng dữ liệu được mã hóa thông qua VPN WARP của Cloudflare không bị ảnh hưởng.

Microsoft cho biết trong một email rằng họ đã "liên hệ với cơ quan chứng nhận để yêu cầu hành động ngay lập tức. Chúng tôi cũng đang thực hiện các bước để chặn các chứng chỉ bị ảnh hưởng thông qua danh sách không được phép của chúng tôi để giúp bảo vệ khách hàng." Tuyên bố không nói rằng công ty đã thất bại như thế nào trong việc xác định chứng chỉ được cấp không đúng cách trong một thời gian dài như vậy.

Đại diện từ Google và Mozilla cho biết trong email rằng các trình duyệt Chrome và Firefox của họ chưa bao giờ tin cậy các chứng chỉ này, và không cần thiết người dùng phải thực hiện bất kỳ hành động nào. Một đại diện Apple phản hồi email với liên kết này đến danh sách các cơ quan chứng nhận mà Safari tin cậy. Fina không được bao gồm.

Không rõ ngay lập tức tổ chức hoặc người nào đã yêu cầu và có được thông tin đăng nhập. Đại diện từ Fina, không trả lời email tìm kiếm chi tiết. Các chứng chỉ là một phần quan trọng của giao thức Bảo mật Lớp Truyền tải. Chúng liên kết một tên miền cụ thể với một khóa công khai. Cơ quan chứng nhận, thực thể được ủy quyền cấp chứng chỉ được trình duyệt tin cậy, sở hữu khóa riêng chứng nhận rằng chứng chỉ là hợp lệ. Bất kỳ ai sở hữu chứng chỉ TLS có thể mạo danh mật mã học tên miền mà nó được cấp.

Người nắm giữ các chứng chỉ 1.1.1.1 có thể sử dụng chúng trong các cuộc tấn công đối thủ tích cực ở giữa để chặn thông tin liên lạc đi qua giữa người dùng cuối và dịch vụ DNS Cloudflare, Ryan Hurst, CEO của Peculiar Ventures và chuyên gia về TLS và cơ sở hạ tầng khóa công khai, nói với Ars.Từ đó, kẻ tấn công sở hữu các chứng chỉ 1.1.1.1 có thể giải mã, xem và can thiệp vào lưu lượng từ dịch vụ DNS Cloudflare, Hurst cho biết.

Lâu đài làm bằng cát

Khám phá hôm thứ Tư phơi bày một điểm yếu chính của cơ sở hạ tầng khóa công khai chịu trách nhiệm đảm bảo sự tin cậy của toàn bộ Internet. Mặc dù là thứ duy nhất đảm bảo rằng gmail.com, bankofamerica.com hoặc bất kỳ trang web nào khác được kiểm soát bởi thực thể tuyên bố quyền sở hữu, toàn bộ hệ thống có thể sụp đổ với một điểm thất bại duy nhất.

Tuyên bố của Cloudflare nhận xét:

Hệ sinh thái CA là một lâu đài với nhiều cửa: sự thất bại của một CA có thể khiến bảo mật của toàn bộ lâu đài bị tổn hại. Hành vi sai trái của CA, dù có chủ ý hay không, đặt ra một mối quan tâm liên tục và đáng kể đối với Cloudflare. Từ đầu, Cloudflare đã giúp phát triển và vận hành Minh bạch Chứng chỉ đã cho phép việc cấp sai này được phát hiện.

Sự cố này cũng phản ánh kém về Microsoft vì thất bại trong việc chủ động phát hiện các chứng chỉ được cấp sai và cho phép Windows tin cậy chúng trong một thời gian dài như vậy. Minh bạch Chứng chỉ, một trang web lập danh mục theo thời gian thực việc cấp phát tất cả các chứng chỉ được trình duyệt tin cậy, có thể được tìm kiếm tự động. Toàn bộ mục đích của các nhật ký là để các bên liên quan có thể nhanh chóng xác định các chứng chỉ được cấp sai trước khi chúng có thể được sử dụng tích cực. Việc cấp sai trong trường hợp này dễ phát hiện vì các địa chỉ IP được sử dụng để xác nhận bên đăng ký chứng chỉ có quyền kiểm soát tên miền chính là 1.1.1.1.

Việc công chúng phát hiện các chứng chỉ bốn tháng sau sự thật cho thấy các nhật ký minh bạch không nhận được sự chú ý mà chúng dự định có được. Không rõ làm thế nào nhiều bên khác nhau có thể bỏ lỡ các chứng chỉ trong một khoảng thời gian dài như vậy.