Hibás TLS-tanúsítványok a Cloudflare 1.1.1.1 DNS-szerveréhez

Biztonsági kutatók észrevették, hogy 2025 májusában három nem felhatalmazott TLS tanúsítványt adtak ki a 1.1.1.1 nyilvános DNS szolgáltatásra, amelyet a Cloudflare és az APNIC üzemeltet. A tanúsítványokat a Fina RDC 2020 hitelesítésszolgáltató bocsátotta ki, és ezek lehetőséget adtak volna a támadóknak, hogy lehallgassák és visszafejtsék a titkosított DNS-lekérdezéseket. Ez súlyos adatvédelmi kockázatot jelent, mivel így a felhasználók böngészési előzményei és szokásai is kiszivároghattak volna. A jogosulatlan tanúsítványok birtokában egy támadó képes lett volna „adversary-in-the-middle” támadás végrehajtására, vagyis a felhasználó és a DNS szerver közti titkos kommunikáció észrevétlen, közbeékelődéses manipulálására.

A Fina RDC 2020 által kiadott tanúsítványokat a Windows operációs rendszerek és a Microsoft Edge böngésző alapértelmezetten megbízhatónak tekintették, mivel a Fina Root CA része a Microsoft Root Certificate Programnak. Ugyanakkor a Google Chrome, a Mozilla Firefox és az Apple Safari sosem fogadta el a Fina root hitelesítőjét, így csak a Microsoft-felhasználók voltak veszélyeztetve. A Cloudflare hangsúlyozta, hogy nem ők igényelték a tanúsítványokat, és azonnal vizsgálatot indítottak, valamint felvették a kapcsolatot a Finával, a Microsofttal és a felügyeleti hatóságokkal. A vállalat jelezte, hogy a WARP VPN szolgáltatásuk nem érintett.

A Microsoft közölte, hogy már lépéseket tett a hamis tanúsítványok visszavonására, és hozzá fogja adni azokat a tiltott tanúsítványok listájához. Azt azonban nem magyarázták meg, hogyan maradhattak észrevétlenek a hibás tanúsítványok négy hónapon keresztül, annak ellenére, hogy a Certificate Transparency naplók éppen az ilyen visszaélések gyors felismerését szolgálják.

(forrás)