Güvenlik araştırmacıları, Mayıs 2025’te Cloudflare ve APNIC tarafından işletilen yaygın olarak kullanılan kamu DNS hizmeti olan 1.1.1.1 için üç yetkisiz TLS sertifikasının verildiğini ortaya koydu.
FINA RDC 2020 Sertifika Otoritesi tarafından uygunsuz bir şekilde verilen bu sertifikalar, saldırganların şifreli DNS sorgularını kesmesine ve şifresini çözmesine izin verebilir. Buna karşılık, bu kullanıcıların tarama geçmişlerini ve alışkanlıklarını ortaya çıkarabilir.
TLS sertifikaları, bir web sitesinin alan adını halka açık bir kriptografik anahtara bağlayan dijital belgelerdir. Geçerli olduğunda, bir kullanıcının cihazı ve bir sunucu arasındaki iletişimin özel ve güvenli kalmasını sağlar.
Bununla birlikte, kötü niyetli veya yetkisiz bir taraf geçerli bir sertifika tutarsa, alan adını taklit edebilir ve “ortada düşman” saldırısı olarak bilinen şeyi yapabilirler.
Böyle bir saldırıda, kötü bir aktör gizlice kullanıcının bilgisi olmadan iletişimleri engeller ve değiştirir.
FINA RDC 2020 sertifikalarına varsayılan olarak Windows işletim sistemlerinde ve Microsoft Edge tarayıcısında güvenilirdi, çünkü FINA RDC 2020 FINA kök ca.
Bu kök sertifikası Microsoft’un kök sertifika programının bir parçasıdır. Buna karşılık, Google Chrome ve Mozilla Firefox gibi büyük tarayıcılar hiçbir zaman güvenilir kök listelerine Fina’yı içermiyordu ve Apple’s Safari de Fina’ya güvenmiyor. Sonuç olarak, yalnızca Windows ve Edge kullanıcıları potansiyel riskle karşılaştı.
Cloudflare, bu sertifikaların verilmesini talep etmediğini veya yetkilendirmediğini doğruladı. Cloudflare sözcüsü, “Sertifika-Temizlik E-posta Listesi hakkındaki raporu gördükten sonra hemen bir soruşturma başlattık ve Fina, Microsoft ve Fina’nın TSP denetleyici gövdesine ulaştık” dedi.
“Bu taraflar, Fina’ya olan güveni iptal ederek veya yanlış verilen sertifikaları iptal ederek sorunu azaltabilir. Ayrıca, Warp VPN hizmetimizin etkilenmediğinden emin olmak istiyoruz.”
Microsoft, zaten “derhal eylem talep etmek için sertifika yetkilisi” olduğunu ve haydut sertifikaları izin verilmeyen sertifika listesine ekleyerek engellemeyi planladığını belirtti.
Şirket, Mayıs ayında yaratılışlarına rağmen, sertifikaların dört ay boyunca tespitten nasıl kaçındığını açıklamadı.
Bu olay, İnternet’in genel anahtar altyapısında, tek bir sertifika otoritesinin uzlaşmasının veya hatasının milyonlarca kişi tarafından güvendiği güven modelini zayıflatabileceği kritik bir zayıflığı vurgulamaktadır.
Sertifika şeffaflık günlükleri, kamuya açık olarak verilen her TLS sertifikasını kaydetmek için mevcuttur, böylece yanlış değerlendirme hızlı bir şekilde tespit edilebilir. Ancak bu durumda, sertifikalar yaklaşık dört ay boyunca fark edilmedi.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.