Önemli bir internet altyapısının gerçekliği için kefil olan haydut dijital sertifikalar, üçüncü taraf bir otorite tarafından dahili test sırasında yanlışlıkla yayınlandı ve ağ güvenlik şirketi Cloudflare tarafından kaçırıldı.
Hırvatistan’da Finans Ajansı (FINA) tarafından yanlış bir şekilde verilen üç TLS kimlik bilgisi rapor edildi ve sertifikalar İnternet Protokolü adres 1.1.1.1’de bulunan Cloudflare Public DNS sunucusu için olduğu için mühendisler arasında şaşkınlık yarattı.
“Sertifika abonelerinin bu IP adresi üzerinde kontrol göstermesi pek olası değildir.” Dedi.
Hizmetlerin kimliğini doğrulamak için dijital sertifikalar kullanıldığından, bunun Cloudflare’nin 1.1.1.1 DNS teklifini kötü niyetli bir şekilde taklit etme girişimi olduğu ortaya çıktı.
Cloudflare, olayın teknik ayrıntılarını içeren bir blog yazısı yazdı ve Fina’nın Sertifika Otoritesi’nin (CA) güvenilir olmamasına ve varsayılan olarak Google’ın Android ve Apple’ın işletim sistemlerine veya Mozilla Firefox ve Chrome tarayıcılarına dahil edildiğini belirtti.
Endişeye ek olarak, Cloudflare, Fina’nın 15 alanı kapsayan 1.1.1.1 için toplam 12 sertifika yayınladığını araştırmasında keşfetti.
Bir SuçluluğumSertifika şeffaflık günlüklerini çalıştıran CloudFlare, kendi alan adı için dijital kimlik bilgilerini düzgün bir şekilde izleyemediğini söyledi.
Cloudflare, “Üç kez başarısız olduk. İlk kez çünkü 1.1.1.1 bir IP sertifikası ve sistemimiz bunları uyaramadı.” Dedi.
“İkinci kez çünkü herhangi bir müşterimiz gibi sertifika vergilendirme uyarıları alacak olsak bile, yeterli filtreleme uygulamadık.
“Bunu yönettiğimiz çok sayıda isim ve ihraçla manuel incelemelere ayak uydurmamız mümkün olmadı.
CloudFlare Blog yazarları, “Son olarak, bu gürültülü izleme nedeniyle, tüm alanlarımız için uyarmayı etkinleştirmedik. Üç eksikliğin hepsini de ele alıyoruz.”
CloudFlare’nin 1.1.1.1 DNS Sunucusu, bölgesel İnternet Kayıt Defteri’nin adres aralıklarından birini kullanarak Asya-Pasifik Ağ Bilgi Merkezi (APNIC) ile ortaklaşa çalıştırılır.
Kamu tarafından yönlendirilebilir 1.1.1.1 adresi, test ve deneysel ağ konfigürasyonlarında kötüye kullanıldığı ve büyük miktarda istenmeyen trafik ürettiği için kötü şöhretlidir.
Test, test
İletişim kurdu ItnewsFine ne olduğunu açıkladı.
Şirket sözcüsü, “Sorun, üretim ortamında sertifika ihraç sürecinin dahili test edilmesi için verilen SSL/TLS sertifikaları ile ilgilidir.” Dedi.
“IP adreslerinin yanlış girişi nedeniyle test sertifikalarının verilmesi sırasında bir hata oluştu.
“Standart prosedürün bir parçası olarak, sertifikalar sertifika şeffaflık günlük sunucularında yayınlandı.
“Özel anahtarlar sadece Fina’nın kontrollü ortamında kaldı ve sertifikalar iptal edilmeden önce bile hemen yok edildi.
Sözcü, “Bu TLS Sertifikalarının dahili testler sırasında meydana gelen hata, kullanıcıları veya başka herhangi bir sistemi herhangi bir şekilde tehlikeye atmadı.” Dedi.
Herkes CA olarak mağaza kurabilir
Apnic’in baş bilim adamı Geoff Huston, sertifika otoritesi sistemini rahatsız edici bir değiş tokuş olarak nitelendirdi Itnews ve son on yıl içinde birden fazla hataya işaret etti.
Huston, “Herkes kendilerini X.509 CA olarak kurabilir ve sertifika verebilir; bunu yapmak için izin gerek yok,” dedi Huston.
“Kilit soru, bu sertifikalara güvenmeye hazır olduğu ve özellikle sertifikanın konu adı ile tanımlanan tarafın iyi niyetlerine güvenmeye hazır olduğudur.
Huston, “Yaygın olarak kullanılan güven hakemi, popüler tarayıcıların (Chrome, Safari ve Mozilla) ve ortak sertifika verenlerin tarayıcıların üye sertifika yetkililerinin iyi niyetleri altında verilen sertifikalara güvenme politikalarını belirlediği CAB forumudur.”
Şu anda, Web PKI sistemi, sağlayıcıların çeşitliliği yoluyla ölçeklenebilirlik ve esneklik sağlayan birden fazla CAS genelinde dağıtılmış güvenden biridir.
Zayıflığı, tüm sistemin yalnızca en az güvenilir üyesi kadar güvenli olması, herhangi bir güvenilir CA’nın teoride herhangi bir alan adı veya herhangi bir IP adresi için sertifikalar verebileceği gibi.
Ancak, sertifika flubları riskleri olmadan değil, geçmiş deneyimler.
2016 yılında, Symantec (şimdi Gen Digital olarak yeniden adlandırıldı) ve CA ortakları, örneğin.com ve test.com gibi test için kullanılanlar da dahil olmak üzere çeşitli alanlar için yanlış bir şekilde sertifikalar yayınladı.
Örnek.com’un sahibi, Atanan İsimler ve Numaralar (ICANN) İnternet Şirketi, Symantec tarafından sertifikalara veya sorunlarına asla izin vermediğini söyledi.
Symantec hızlı bir şekilde tepki vermesine ve sertifikaları iptal etse de, Google ve diğer tarayıcı satıcıları, TLS kimlik bilgilerine güvenerek güvenlik satıcısını cezalandırarak, bunların çok sayıda uygunsuz bir şekilde verildiğini belirtti.
Olaydan sonra yaygın endüstri güvensizliğinin ardından Symantec, sertifika işini 2017’de Digicert’e sattı.