İnternet güvenliği çevrelerinde, içerik dağıtım ağı Cloudflare ve Asya Pasifik Ağ Bilgi Merkezi (APNIC) tarafından kullanılan yaygın bir DNS hizmeti olan 1.1.1.1 için üç TLS sertifikasının yanlışlıkla verilmesi üzerine alarm zilleri çalmaya başladı. Mayıs ayında verilen bu sertifikalar, kullanıcıların erişmek istediği belirli bir alan adının IP adresini ararken DNS over HTTPS veya DNS over TLS ile şifrelenen sorguları şifrelemek için kullanılabilir. Bu protokoller, kullanıcı cihazları bir alan adına erişmek istediğinde uçtan uca şifreleme sağlar. Sertifikalardan ikisi, bu yazı yayınlandığı sırada hala geçerliydi.
Dört ay önce verilmiş olmalarına rağmen, sertifikaların varlığı Çarşamba günü bir çevrimiçi tartışma forumuna yapılan bir gönderiyle kamuoyunun dikkatine sunuldu. Sertifikalar, Fina Root CA'ya bağlı bir sertifika yetkilisi olan Fina RDC 2020 tarafından verilmişti. Fina Root CA ise, Windows işletim sisteminin güvendiği sertifikaları yöneten Microsoft Root Certificate Program tarafından güvenilir kabul ediliyor. İnternet'te aktif olarak kullanılan tarayıcıların yaklaşık %5'ini oluşturan Microsoft Edge bu programdan etkileniyor.
Bu yazı yayınlandıktan birkaç saat sonra gönderilen bir e-posta açıklamasında, Cloudflare yetkilileri sertifikaların usulsüz bir şekilde verildiğini doğruladı. Açıklamada, Cloudflare'ın WARP VPN aracılığıyla şifrelenen verilerinin bu durumdan etkilenmediği belirtildi.
Microsoft ise yaptığı açıklamada, "sertifika yetkilisi ile acil eylem talebiyle temasa geçtiklerini" ve "müşterileri korumaya yardımcı olmak için etkilenen sertifikaları yasaklı listeleri aracılığıyla engellemek için adımlar attıklarını" bildirdi. Açıklamada, şirketin bu tür uzun bir süre boyunca usulsüzce verilmiş sertifikayı nasıl tespit edemediği belirtilmedi.
Google ve Mozilla temsilcileri gönderdikleri e-postalarda, Chrome ve Firefox tarayıcılarının hiçbir zaman bu sertifikalara güvenmediğini ve kullanıcıların herhangi bir işlem yapmasına gerek olmadığını belirttiler. Apple temsilcisi ise bir e-postaya Safari'nin güvendiği sertifika yetkililerinin bir listesini içeren bir bağlantı ile yanıt verdi; bu listede Fina yer almıyordu.
Kimliğin veya hangi kurumun bu kimlik bilgilerini talep ettiği henüz netlik kazanmadı. Fina temsilcileri, detay isteyen e-postalara yanıt vermedi.
Sertifikalar, Taşıma Katmanı Güvenliği (TLS) protokolünün önemli bir parçasıdır. Belirli bir alan adını bir genel anahtara bağlarlar. Tarayıcılar tarafından güvenilen sertifikalar verme yetkisine sahip varlık olan sertifika yetkilisi, sertifikanın geçerli olduğunu onaylayan özel anahtara sahiptir. Bir TLS sertifikasına sahip olan herhangi biri, sertifika hangi alan adı için verilmişse o alan adını kriptografik olarak taklit edebilir.
1.1.1.1 sertifikalarının sahibi, uç kullanıcılar ile Cloudflare DNS hizmeti arasındaki iletişimi kesebilecek aktif bir ortadaki adam saldırılarında bunları kullanabilir. Sertifikalara sahip saldırganlar, Cloudflare DNS hizmetinden gelen trafiği şifresini çözebilir, görüntüleyebilir ve değiştirebilir.
Çarşamba günü yapılan keşif, tüm İnternet'in güvenliğini sağlamaktan sorumlu genel anahtar altyapısının önemli bir zayıflığını ortaya koyuyor. gmail.com, bankofamerica.com veya başka herhangi bir web sitesinin sahipliğini iddia eden kuruluş tarafından kontrol edildiğini doğrulayan tek şey olmasına rağmen, tüm sistem tek bir hata noktasıyla çökebilir.
Cloudflare'ın açıklamasında, bu tür yanlış sertifikaların alınmasının bir hata olduğu belirtildi.
Bu olay, yanlış sertifikaları proaktif olarak yakalayamayan ve Windows'un uzun bir süre onlara güvenmesine izin veren Microsoft için de olumsuz bir durum yaratıyor. Tarayıcı tarafından güvenilen tüm sertifikaların yayınlanmasını gerçek zamanlı olarak kataloglayan Certificate Transparency gibi siteler otomatik olarak aranabilir. Günlüklerin amacı, paydaşların yanlış verilmiş sertifikaları aktif olarak kullanılmadan önce hızlı bir şekilde tespit etmelerini sağlamaktır. Bu durumdaki yanlışlık, sertifikalar için başvuran tarafın alan adının kontrolüne sahip olduğunu doğrulamak için kullanılan IP adreslerinin 1.1.1.1 olması nedeniyle kolayca fark edilebilir.
Sertifikaların olayın üzerinden dört ay geçtikten sonra kamuoyuna duyurulması, şeffaflık günlüklerinin amaçlandığı ilgiyi görmediğini gösteriyor. Bu kadar çok farklı tarafın sertifikaları bu kadar uzun süre gözden kaçırması belirsizliğini koruyor.
