Компания Cloudflare столкнулась с серьезным инцидентом в области кибербезопасности: сертификационный центр Fina CA без разрешения выпустил двенадцать TLS-сертификатов для IP-адреса 1.1.1.1, используемого публичным DNS-резолвером службы. Неправомерная выдача происходила с февраля 2024 по август 2025 года и была обнаружена благодаря системе Certificate Transparency (CT) и программе раскрытия уязвимостей Cloudflare.
Сертификаты TLS играют ключевую роль в обеспечении безопасного взаимодействия между клиентами и серверами через протоколы DNS over TLS (DoT) и DNS over HTTPS (DoH). Они подтверждают подлинность сервера и шифруют передаваемые данные. В данном случае сертификаты содержали IP-адрес 1.1.1.1, что потенциально позволяло злоумышленникам имитировать сервер Cloudflare при выполнении ряда условий.
По словам представителей Fina CA, инцидент произошел из-за ошибки во внутреннем тестировании процесса выпуска сертификатов в производственной среде. Тестовые сертификаты были ошибочно опубликованы в логах прозрачности сертификатов. Cloudflare подчеркивает, что проблема заключается не в публикации, а в отсутствии проверки контроля над IP-адресом перед выдачей сертификата.
Для успешной атаки злоумышленникам потребовалось бы не только получить несанкционированный сертификат и соответствующий закрытый ключ, но и чтобы атакуемые клиенты доверяли центру сертификации Fina CA. Кроме того, необходимо было перехватить трафик между клиентом и 1.1.1.1. Cloudflare не обнаружила доказательств использования этих сертификатов вредоносных целях.
Расследование показало, что сертификаты включали различные тестовые доменные имена, не прошедшие проверку контроля домена, что нарушает требования CA/Browser Forum. Все сертификаты были отозваны 4 сентября 2025 года после обращения Cloudflare к Fina CA.
Компания признала, что не смогла своевременно обнаружить проблему через свою систему мониторинга Certificate Transparency. Cloudflare предпринимает шаги по улучшению оповещений о выпуске сертификатов для своих IP-адресов и доменов, пересмотру процесса обработки отчетов об уязвимостях и развитию инструментов мониторинга.
Эксперты по безопасности рекомендуют организациям проверить свои системы на наличие отозванных сертификатов Fina CA и пересмотреть политики доверия центрам сертификации. Важность Certificate Transparency для раннего обнаружения подобных инцидентов невозможно переоценить, особенно для небраузерных клиентов, таких как DNS-резолверы.
Этот случай подчеркивает уязвимость современной инфраструктуры открытых ключей и необходимость постоянного мониторинга и сотрудничества между провайдерами услуг, центрами сертификации и сообществом безопасности. Cloudflare благодарит исследователей, сообщивших о проблеме, и продолжит работать над усилением защитных механизмов для своих пользователей.
