04.09.2025 16:02:00
Дата публикации
2025 жылдың мамыр айында Cloudflare жалпы DNS қызметінің мекенжайы — 1.1.1.1 доменіне үш TLS сертификаты шығарылды. Сертификаттар шифрланған DNS сұрауларының шифрын шешуге мүмкіндік берді, бұл трафикті тоқтатуға және ауыстыруға жол ашты. Олар тек төрт айдан кейін, қыркүйекте, форум жазбасының арқасында табылды.
Бұл өте маңызды, өйткені домен GoogleDNS және OpenDNS-пен бірге әлемдегі ең көп қолданылатын жалпыға қолжетімді DNS шешуші үштіктің бірі болып табылады.
Беруші тарап Fina RDC 2020 болды — Microsoft корпорациясының сенімді тізбегінің бөлігі болып табылатын Fina Root CA басқаратын сертификаттау органы. Бұл Microsoft корпорациясы оларды қайтарып алмағанға дейін Windows және Edge браузері бұл сертификаттарға автоматты түрде сенетінін білдіреді. Жарияланған кезде үш куәліктің екеуі әлі жарамды болатын.
Cloudflare сертификаттарды беруге рұқсат етпейтінін айтты және ішкі тергеуді бастады. Компания Fina, Microsoft және реттеуші органмен байланысады, олар Fina-ға деген сенімнен бас тартуы немесе сертификаттарды жоюы мүмкін. Фина жариялау кезінде жауап бермеді.
Microsoft өз кезегінде сертификаттарды тыйым салынғандар тізіміне қосуға уәде берді. Алайда компания ақауды неліктен ертерек анықтамағанын түсіндірмеді. Google және Mozilla олардың браузерлері бұл сертификаттарға ешқашан сенбейтінін хабарлады. Safari сонымен қатар Fina-ны сенімді орталықтар тізіміне қоспады.
Сарапшылар мұндай сертификаттарды иелену шабуылдаушыға 1.1.1.1 сервисіне еліктеп, трафиктің шифрын шешуге және пайдаланушы мен DNS сервері арасындағы байланысқа кедергі келтіруге мүмкіндік беретінін ескертеді. Бұл, әсіресе қосымша қорғанысы жоқ желілерде, ортадағы адам шабуылының қаупін тудырады.
Cloudflare оның WARP VPN қызметіне әсер етпейтінін атап өтті, өйткені ол жеке шифрлау жүйесін пайдаланады. Дегенмен, оқиға бүкіл сенім инфрақұрылымының осалдығын көрсетті: сертификаттау органдарының тізбегіндегі бір сәтсіздік миллиондаған пайдаланушыларды қауіпке ұшыратуы мүмкін.
TLS сертификат жүйесі Интернеттегі сенімнің негізі болып табылады. Бұл gmail.com сияқты сайттардың шын мәнінде олар иеленетініне сенімді болуы керек. Бірақ бұл оқиға көрсеткендей, бүкіл жүйенің крекингті бастауы үшін бір ғана қате мәселе қажет.
Cloudflare мөлдірлік пен бақылауды күшейтуге шақырып, бұл мәселе сертификаттың ашықтығы жүйесінің арқасында анықталғанын еске салды.
Бұл оқиға жай ғана техникалық ақау емес, алаңдатарлық сигнал: Интернетке сенім нәзік архитектураға негізделген, мұнда бір орталықтың қателігі жаһандық шабуылдың кіру нүктесіне айналуы мүмкін.
(мәтінді аудару автоматты түрде орындалды)
Бұл өте маңызды, өйткені домен GoogleDNS және OpenDNS-пен бірге әлемдегі ең көп қолданылатын жалпыға қолжетімді DNS шешуші үштіктің бірі болып табылады.
Беруші тарап Fina RDC 2020 болды — Microsoft корпорациясының сенімді тізбегінің бөлігі болып табылатын Fina Root CA басқаратын сертификаттау органы. Бұл Microsoft корпорациясы оларды қайтарып алмағанға дейін Windows және Edge браузері бұл сертификаттарға автоматты түрде сенетінін білдіреді. Жарияланған кезде үш куәліктің екеуі әлі жарамды болатын.
Cloudflare сертификаттарды беруге рұқсат етпейтінін айтты және ішкі тергеуді бастады. Компания Fina, Microsoft және реттеуші органмен байланысады, олар Fina-ға деген сенімнен бас тартуы немесе сертификаттарды жоюы мүмкін. Фина жариялау кезінде жауап бермеді.
Microsoft өз кезегінде сертификаттарды тыйым салынғандар тізіміне қосуға уәде берді. Алайда компания ақауды неліктен ертерек анықтамағанын түсіндірмеді. Google және Mozilla олардың браузерлері бұл сертификаттарға ешқашан сенбейтінін хабарлады. Safari сонымен қатар Fina-ны сенімді орталықтар тізіміне қоспады.
Сарапшылар мұндай сертификаттарды иелену шабуылдаушыға 1.1.1.1 сервисіне еліктеп, трафиктің шифрын шешуге және пайдаланушы мен DNS сервері арасындағы байланысқа кедергі келтіруге мүмкіндік беретінін ескертеді. Бұл, әсіресе қосымша қорғанысы жоқ желілерде, ортадағы адам шабуылының қаупін тудырады.
Cloudflare оның WARP VPN қызметіне әсер етпейтінін атап өтті, өйткені ол жеке шифрлау жүйесін пайдаланады. Дегенмен, оқиға бүкіл сенім инфрақұрылымының осалдығын көрсетті: сертификаттау органдарының тізбегіндегі бір сәтсіздік миллиондаған пайдаланушыларды қауіпке ұшыратуы мүмкін.
TLS сертификат жүйесі Интернеттегі сенімнің негізі болып табылады. Бұл gmail.com сияқты сайттардың шын мәнінде олар иеленетініне сенімді болуы керек. Бірақ бұл оқиға көрсеткендей, бүкіл жүйенің крекингті бастауы үшін бір ғана қате мәселе қажет.
Cloudflare мөлдірлік пен бақылауды күшейтуге шақырып, бұл мәселе сертификаттың ашықтығы жүйесінің арқасында анықталғанын еске салды.
Бұл оқиға жай ғана техникалық ақау емес, алаңдатарлық сигнал: Интернетке сенім нәзік архитектураға негізделген, мұнда бір орталықтың қателігі жаһандық шабуылдың кіру нүктесіне айналуы мүмкін.
