В мае 2025 года для популярного DNS-сервиса 1.1.1.1, предоставляемого Cloudflare совместно с регистратором APNIC, были выпущены три TLS-сертификата, которые оказались выданы ненадлежащим образом. Эксперты считают, что инцидент поставил под угрозу устойчивость и безопасность всей инфраструктуры интернета.

Кто выдал сертификаты и в чём проблема

Ненадлежащая выдача произошла в центре Fina RDC 2020, подчинённом Fina Root CA — доверенному корневому центру сертификации для программы Microsoft Trusted Root Program. Это означает, что операционная система Windows по умолчанию доверяла данным сертификатам.

В Cloudflare подчеркнули, что никаких полномочий компании Fina не передавали. То есть сертификаты были выпущены без согласования, что делает их фактически незаконными. Два из трёх сертификатов оставались действительными на момент публикации, что создавало угрозу для пользователей.

Что под угрозой

TLS-сертификаты могли быть использованы для:

• перехвата и расшифровки трафика, защищённого с помощью DNS over HTTPS или DNS over TLS;

• создания атак «человек посередине» (MITM) на пользователей, обращающихся к сервису 1.1.1.1.

К счастью, данные, шифруемые через сервис Cloudflare WARP, под угрозу не попали.

Реакция компаний

• Microsoft подтвердила проблему и заявила, что уже принимает меры для блокировки сертификатов. Однако компания не пояснила, почему нарушение не было обнаружено раньше.

• В Google и Mozilla отметили, что их браузеры Chrome и Firefox никогда не доверяли сертификатам Fina, поэтому пользователям этих браузеров действия предпринимать не требуется.

• В Apple напомнили, что в доверенный список Safari центр сертификации Fina также не входит.

Уязвимость инфраструктуры PKI

Инцидент стал очередным доказательством слабых мест в глобальной системе публичных ключей (PKI), на которой строится доверие в интернете. В Cloudflare сравнили эту экосистему с крепостью: если ломается хотя бы одна «дверь», вся система безопасности оказывается под угрозой.

Стоит отметить, что Cloudflare изначально поддерживает механизм Certificate Transparency (CT), который и помог зафиксировать факт несанкционированной выдачи сертификатов. Однако позднее обнаружение ошибки демонстрирует слабую практику контроля за журналами прозрачности — в том числе со стороны Microsoft, которая долгое время доверяла компрометированным сертификатам.

Итог

Ошибка центра сертификации Fina RDC 2020 поставила под сомнение надёжность доверенной цепочки сертификатов и показала, насколько уязвима система PKI. Хотя пользователи Chrome, Firefox и Safari могут не волноваться, инцидент стал серьёзным сигналом для всей индустрии: контроль за сертификатами и прозрачность их выдачи должны быть приоритетом, иначе под угрозой окажется сам фундамент безопасности интернета.