04.09.2025
Дата публикации
В мае 2025 года были выданы три TLS-сертификата на домен 1.1.1.1 — адрес публичного DNS-сервиса Cloudflare. Сертификаты позволяли расшифровывать защищённые DNS-запросы, что открывало путь к перехвату и подмене трафика. Обнаружили их лишь спустя четыре месяца, в сентябре, благодаря публикации на форуме.
Это критично, так как домен входит в топ-3 самых используемых публичных DNS-резолверов в мире, наряду с GoogleDNS и OpenDNS.
Выдавшей стороной оказалась Fina RDC 2020 — удостоверяющий центр, подконтрольный Fina Root CA, входящему в доверенную цепочку Microsoft. Это означает, что Windows и браузер Edge автоматически доверяли этим сертификатам, пока Microsoft не отозвала их. На момент публикации два из трёх сертификатов всё ещё были действующими.
Cloudflare заявила, что не давала разрешения на выпуск сертификатов и начала внутреннее расследование. Компания связалась с Fina, Microsoft и надзорным органом, который может отозвать доверие к Fina или аннулировать сертификаты. Ответа от Fina на момент публикации не поступило.
Microsoft, в свою очередь, пообещала внести сертификаты в список запрещённых. Однако компания не объяснила, почему не обнаружила проблему раньше. Google и Mozilla сообщили, что их браузеры никогда не доверяли этим сертификатам. Safari также не включал Fina в список доверенных центров.
Эксперты предупреждают: обладание такими сертификатами позволяет злоумышленнику имитировать сервис 1.1.1.1, расшифровывать трафик и вмешиваться в коммуникации между пользователем и DNS-сервером. Что создаёт угрозу атаки типа «человек посередине» — особенно в сетях без дополнительной защиты.
Cloudflare подчеркнула, что её VPN-сервис WARP не затронут, так как использует отдельную систему шифрования. Тем не менее, инцидент вскрыл уязвимость всей инфраструктуры доверия: один сбой в цепочке удостоверяющих центров может поставить под угрозу миллионы пользователей.
Система TLS-сертификатов — это основа доверия в интернете. Она должна гарантировать, что сайты, такие как gmail.com, действительно принадлежат заявленным владельцам. Но как показал этот случай, достаточно одного ошибочного выпуска — и вся система начинает трещать.
Cloudflare призвала к усилению прозрачности и контролю, напомнив, что именно благодаря системе Certificate Transparency удалось выявить проблему.
Этот инцидент — не просто технический сбой, а тревожный сигнал: доверие в интернете держится на хрупкой архитектуре, где ошибка одного центра может стать входной точкой для глобальной атаки.
Это критично, так как домен входит в топ-3 самых используемых публичных DNS-резолверов в мире, наряду с GoogleDNS и OpenDNS.
Выдавшей стороной оказалась Fina RDC 2020 — удостоверяющий центр, подконтрольный Fina Root CA, входящему в доверенную цепочку Microsoft. Это означает, что Windows и браузер Edge автоматически доверяли этим сертификатам, пока Microsoft не отозвала их. На момент публикации два из трёх сертификатов всё ещё были действующими.
Cloudflare заявила, что не давала разрешения на выпуск сертификатов и начала внутреннее расследование. Компания связалась с Fina, Microsoft и надзорным органом, который может отозвать доверие к Fina или аннулировать сертификаты. Ответа от Fina на момент публикации не поступило.
Microsoft, в свою очередь, пообещала внести сертификаты в список запрещённых. Однако компания не объяснила, почему не обнаружила проблему раньше. Google и Mozilla сообщили, что их браузеры никогда не доверяли этим сертификатам. Safari также не включал Fina в список доверенных центров.
Эксперты предупреждают: обладание такими сертификатами позволяет злоумышленнику имитировать сервис 1.1.1.1, расшифровывать трафик и вмешиваться в коммуникации между пользователем и DNS-сервером. Что создаёт угрозу атаки типа «человек посередине» — особенно в сетях без дополнительной защиты.
Cloudflare подчеркнула, что её VPN-сервис WARP не затронут, так как использует отдельную систему шифрования. Тем не менее, инцидент вскрыл уязвимость всей инфраструктуры доверия: один сбой в цепочке удостоверяющих центров может поставить под угрозу миллионы пользователей.
Система TLS-сертификатов — это основа доверия в интернете. Она должна гарантировать, что сайты, такие как gmail.com, действительно принадлежат заявленным владельцам. Но как показал этот случай, достаточно одного ошибочного выпуска — и вся система начинает трещать.
Cloudflare призвала к усилению прозрачности и контролю, напомнив, что именно благодаря системе Certificate Transparency удалось выявить проблему.
Этот инцидент — не просто технический сбой, а тревожный сигнал: доверие в интернете держится на хрупкой архитектуре, где ошибка одного центра может стать входной точкой для глобальной атаки.
