Nakon što je u javnost dospjela informacija kako je Financijska agencija (Fina) pogrešno izdala nekoliko certifikata, koji su mogli stvoriti ozbiljne probleme ne samo korisnicima, nego i na internetu, provodi se istraga kako je do takve situacije uopće moglo doći.
Iz Fine su za Zimo istaknuli kako se radi o testnim certifikatima, koji "nisu ugrozili korisnike niti bilo koje druge sustave".
No, čini se kako se sa Fininim objašnjenjem ne slažu baš u Cloudflareu.
Kako su naveli u službenom blogu, u kojoj su korak po korak pojasnili cijelu situaciju, Fina CA je izdala čak 12 certifikata bez njihovog dopuštenja u razdoblju od veljače 2024. do kolovoza 2025. godine.
Iako iz Cloudflarea ističu kako nemaju dokaza da su zlonamjerni akteri iskoristili ovu pogrešku, ipak se radi o "neprihvatljivom sigurnosnom propustu Fina CA, kojeg su trebali ranije uočiti i reagirati".
Nakon razgovora s Fina CA, čini se da su izdali ove certifikate u svrhu internog testiranja. Međutim, nijedan CA ne bi trebao izdavati certifikate za domene i IP adrese bez provjere kontrole. Trenutno su svi certifikati opozvani. Čekamo potpunu analizu od Fine, navode iz Cloudflarea.
Izdavanje takvih, neovlaštenih certifikata nije neuobičajena praksa, upozoravaju Cloudflarea. No, posljedice mogu biti puno ozbiljnije od ovih koje je Fina doživjela.
Neovlašteni certifikati nažalost nisu neuobičajeni, bilo zbog nemara - poput IdenTrusta u studenom 2024. - ili kompromitiranja. Poznato je da je 2011. godine nizozemski CA DigiNotar hakiran, a njegovi ključevi korišteni su za izdavanje stotina certifikata, podsjećaju.
Ističu kako je dio odgovornosti i na njima jer nisu uspjeli pravilno pratiti certifikate za vlastitu domenu i to u tri slučaja.
Prvi put zato što je 1.1.1.1 IP certifikat i naš sustav nije uspio upozoriti na njega. Drugi put zato što čak i kad bismo primali upozorenja o izdavanju certifikata, kao što to može bilo koji od naših klijenata, nismo implementirali dovoljno filtriranja. S obzirom na sam broj imena i izdavanja kojima upravljamo, nije nam bilo moguće pratiti ručne preglede. Konačno, zbog ovog praćenja, nismo omogućili upozorenja za sve naše domene. Rješavamo sva tri nedostatka, navode iz Cloudflarea.
Iako do sada nije bilo naznaka korištenja ovih certifikata, ovaj incident shvaćamo izuzetno ozbiljno, napominju.
Sporni certifikati su, što su nam potvrdili i iz Fine, u međuvremenu opozvani, no iz Cloudflarea upozoravaju kako je ovaj incident pokazao kako je "dovoljno da jedno tijelo za certificiranje postane neovlašteno pa da svi budu u opasnosti".
Ovaj događaj je prvi put da smo primijetili lažno izdavanje certifikata koji koristi naša javna usluga DNS resolver 1.1.1.1. Iako nemamo dokaza da je to bilo zlonamjerno, znamo da bi moglo biti budućih pokušaja, zaključuju na kraju iz Cloudflarea.
