近日,互联网安全圈对Cloudflare与APNIC合作提供的1.1.1.1 DNS服务上出现的三张被误发TLS证书表示严重担忧。这些证书在今年5月由Fina RDC 2020签发,但直到本周三才在网络社区被公开披露。专家称,这类证书可被用于解密DNS流量,或使攻击者通过中间人攻击窃取和篡改用户信息,对整体互联网信任体系造成威胁。
Cloudflare已确认未授权Fina签发相关证书,并已启动紧急调查,同时联系了Fina、Microsoft和监管机构促请吊销问题证书。Microsoft随后表示将通过不受信列表屏蔽受影响证书,以保护用户安全。Google和Mozilla均表示其浏览器从未信任这些证书,无需用户干预,Apple亦未将Fina列入受信任名单。
目前尚不清楚是谁申请了这些证书,Fina方面亦未有回应。专家警告,这一事件暴露了当前CA体系的脆弱,只需一个证书颁发机构失误就可能威胁整个互联网安全。