У відкритих журналах Certificate Transparency було виявлено 12 TLS‑сертифікатів, випущених підпорядкованим центром Fina RDC 2020 для IP‑адреси 1.1.1.1 — публічного DNS‑резолвера Cloudflare. Сертифікати датовано з лютого 2024 по серпень 2025 року. Cloudflare підтвердила, що випуск відбувся без її згоди та є неправомірним; інцидент активно обговорювався в списку розсилки Mozilla dev-security-policy.
Ланцюг довіри: чому Windows могла довіряти цим сертифікатам
Сертифікати видавав Fina RDC 2020, проміжний УЦ у дереві Fina Root CA. Кореневому сертифікату Fina довіряє Microsoft, отже ланцюг довіри працював у середовищах Windows та Microsoft Edge. Це створювало підвищений ризик для користувачів, які звертаються до 1.1.1.1 саме з платформ Microsoft.
Загроза для DoH/DoT і можливість MITM‑атаки
Як сертифікат допомагає MITM
TLS‑сертифікат пов’язує домен або IP з відкритим ключем. Якщо зловмисник має сертифікат і відповідний приватний ключ, він може криптографічно імітувати цільовий вузол та організувати man‑in‑the‑middle для перехоплення і модифікації трафіку. У контексті DNS over HTTPS (DoH) та DNS over TLS (DoT) це означає потенційне читання й зміни DNS‑запитів до 1.1.1.1.
Cloudflare наголосила, що трафік, який проходить через WARP VPN, не підпадає під вплив інциденту. Водночас компанія виходить з принципу найгіршого сценарію: «потрібно припускати існування приватного ключа поза контролем Cloudflare».
Реакція вендорів: блокування та статус довіри в браузерах
Хто і що зробив
Cloudflare оперативно звернулась до Fina, Microsoft і відповідного регулятора TSP з вимогами щодо відкликання сертифікатів і перегляду довіри. Microsoft повідомила про негайне блокування проблемних сертифікатів у своєму екосистемному ланцюжку.
Статус довіри у браузерах
Представники Google, Mozilla та Apple зазначили, що їхні браузери ніколи не довіряли кореню Fina. Отже, користувачам Chrome, Firefox та Safari не потрібні додаткові дії у відповідь на цю подію.
PKI під тиском: роль Certificate Transparency і моніторингу
Глобальна PKI — це мережа довіри, де помилка одного УЦ може мати масштабні наслідки. Certificate Transparency забезпечує спостережуваність: всі випуски фіксуються в публічних журналах, що й дозволило виявити інцидент. Втім, ефективність залежить від постійного моніторингу CT‑журналів.
Cloudflare також повідомила про прогалини у власних сповіщеннях щодо IP‑сертифікатів для 1.1.1.1: фільтри були надто грубими, а «шум» заважав повноцінному алертингу. Компанія обіцяє посилити моніторинг CT і автоматизувати реагування на міс‑емісії.
Позиція Fina: «внутрішнє тестування» та людський фактор
За словами Fina, випуск був частиною внутрішнього тестування в продакшн‑середовищі і стався через помилкове введення IP‑адрес. УЦ стверджує, що приватні ключі не покидали контрольовану інфраструктуру та були знищені до відкликання сертифікатів, а самі сертифікати видані згідно з процедурою з публікацією у CT. Перевірити ці твердження незалежно неможливо, тому Cloudflare справедливо враховує ризик компрометації ключів.
Уроки інциденту та рекомендації для безпеки
Системні прецеденти
Подібні кризи довіри вже траплялися: від компрометації DigiNotar (2011) до санкцій щодо частини інфраструктури Symantec (2017). Кожного разу слабка ланка в екосистемі УЦ впливала на мільйони користувачів і сервісів.
Практичні кроки для організацій
Рекомендуємо: впровадити безперервний моніторинг CT для доменів та за потреби IP‑адрес; автоматизувати алерти та процедури відкликання; використовувати OCSP stapling і перевірку CRL/OCSP на робочих станціях Windows; застосовувати certificate pinning у власних застосунках там, де це безпечно; періодично аудитити довірені корені у ваших сторах та, за наявності підстав, обмежувати довіру до спірних кореневих УЦ.
Цей випадок підтверджує: стійкість інфраструктури довіри визначають не лише алгоритми, а й процеси. Перевірте сьогодні свої механізми спостереження за CT, оновіть плейбуки реагування на несанкціоновані випуски й зменшіть «поверхню довіри» за принципом найменших привілеїв. Це знизить ризики для DoH/DoT та захистить критично важливий трафік ваших користувачів.
