Tri pogrešno izdana certifikata, iz svibnja ove godine, mogla bi ugroziti funkcioniranje cijelog interneta, a trag vodi do Hrvatske.
Naime, nakon što je na developerskom forumu o kibernetičkoj sigurnosti objavljeno izvješće o nekoliko pogrešno izdanih certifikata, a za koje je utvrđeno da je izdavač hrvatska FINA, krenule su rasprave o tome što to točno znači u širem kontekstu.
Naime, radi se o tri TLS certifikata koji su izdani za 1.1.1.1, široko korištenu DNS uslugu mreže za isporuku sadržaja Cloudflare i internetskog registra Azijsko-pacifičkog mrežnog informacijskog centra (APNIC). Certifikati, izdani u svibnju, mogu se koristiti za dešifriranja upita za pretraživanje domene preko HTTPS-a ili TLS-a.
Kako je navedeno u izvješću, certifkate je izdao Fina RDC 2020, koji je podređeni Fina Root CA. Problem s ovim certifikatima je što nemaju navedenu IPv4 ili IPv6 adresu.
Zamolili smo FINA-u da nam pojasni o čemu je riječ i kako je došlo do pogrešnog izdavanja certifikata.
U konkretnom slučaju je riječ o SSL/TLS certifikatima koji su izdani za potrebe internog testiranja izdavanja certifikata u produkcijskom okruženju. Predmetni certifikati nisu kvalificirani certifikati.
Prilikom izdavanja certifikata za testiranje došlo je do pogreške pri upisivanju IP adresa. Certifikati se objavljuju na Certificat Transparency log serverima upravo iz razloga da se može reagirati u slučaju bilo kakve neispravnosti, istaknuli su na upit Zima iz FINA-e.
Iako su certifikati izdani još u svibnju, tek je jučer otkrivena njihova pogreška i dojavljeno FINA-i.
Po otkrivenoj neispravnosti u certifikatima, sporni certifikati su opozvani, a privatni ključevi su bili odmah i uništeni nakon završetka testova. Pogreška prilikom izdavanja ovih TLS certifikata za potrebe internog testiranja ničim nije ugrozila korisnike niti bilo koje druge sustave, ističu iz FINA-e.
A što se tiče korisnika?
Korisnici ne moraju poduzimati nikakve dodatne radnje, a Fina će eliminirati mogućnost da se ista pogreška ponovi, dodaju iz FINA-e za Zimo.
O problemu s certifikatima obavijestili su i korisnike na službenim stranicama.
S druge strane, iz Cloudflarea su za Ars Technicu izjavili kako:
Cloudflare nije ovlastio Finu za izdavanje ovih certifikata. Nakon što smo vidjeli izvješće na popisu e-pošte za transparentnost certifikata, odmah smo pokrenuli istragu i kontaktirali Finu, Microsoft i nadzorno tijelo Fininog TSP-a – koji mogu ublažiti problem opozivanjem povjerenja u Finu ili pogrešno izdane certifikate. Trenutno još nismo dobili odgovor od Fine.
Za komentar smo zamolili i domaćeg stručnjaka za kibernetičku sigurnost, Alena Delića.
Ovdje je riječ o očitoj (više organizacijskoj nego tehničkoj) pogrešci koja je u međuvremenu ispravljena, a izdavatelj će se sada baviti analizom zašto je do toga došlo. Iz šire perspektive, zanimljivije je pitanje zašto nitko u lancu nije ranije uočio pogrešku. Izdavanje certifikata globalno je iznimno kontroliran proces, no unatoč tome povremeno se događaju incidenti, često puno većih razmjera, prokomentirao je za Zimo Delić te dodao kako je već bilo slučajeva kad se moralo povući tisuće certifikata zbog neke pogreške u njihovom izdavanju.
Inače, certifikati su ključni dio TLS protokola jer vežu određenu domenu za javni ključ. Tijelo za izdavanje certifikata, entitet ovlašten za izdavanje certifikata kojima vjeruje preglednik, posjeduje privatni ključ koji potvrđuje da je certifikat valjan. Svatko tko posjeduje TLS certifikat može kriptografski lažno predstavljati domenu za koju je izdan.
Vlasnik 1.1.1.1 certifikata mogao bi ih potencijalno koristiti u aktivnim napadima poput onih koji presreću komunikaciju između krajnjih korisnika i Cloudflare DNS usluge, rekao je za Ars Ryan Hurst, izvršni direktor tvrtke Peculiar Ventures i stručnjak za TLS i infrastrukturu javnih ključeva.
Istaknuo je i kako bi napadači s posjedom 1.1.1.1 certifikata mogli dešifrirati, pregledavati i mijenjati promet s Cloudflare DNS servisa.
