近期,互联网安全领域曝出一则警示:Cloudflare 与 APNIC 共同运营的知名 DNS 服务 1.1.1.1,被错误颁发了三张有效 TLS 证书。这些证书可用于解密加密 DNS 流量,甚至可能威胁到 VPN 服务安全,而从 5 月颁发到 9 月曝光,它们已“潜伏”四个月之久,暴露出互联网公钥基础设施(PKI)的关键漏洞。
事件核心:三张错误证书的“威胁性”
1.1.1.1 是全球广泛使用的公共 DNS 服务,而此次被错误颁发的三张 TLS 证书,由隶属于“Fina Root CA”的子机构“Fina RDC 2020”签发。其潜在风险主要体现在两方面:
- 解密加密 DNS 流量:证书可破解“DNS over HTTPS(DoH)”协议的加密保护——该协议原本用于保障用户“域名查询→获取IP”过程的隐私,一旦被破解,攻击者可拦截、查看甚至篡改用户的 DNS 请求;
- 威胁关联敏感服务:安全专家指出,证书还可能影响 Cloudflare 旗下的 WARP VPN 服务,导致 VPN 加密流量被解密,进一步扩大隐私泄露范围。
更值得警惕的是,截至曝光时,这三张证书仍处于“有效状态”。
关键漏洞:信任体系的“多重失效”
此次事件并非单一环节出错,而是互联网信任机制多层面的协同失效,主要涉及三方责任:
1. 证书颁发机构(CA):验证流程缺失
根据行业规则,CA 签发证书前必须验证申请者是否真正拥有对应域名或 IP 的控制权。但这三张 1.1.1.1 证书的申请过程中,Fina RDC 2020 并未完成这一核心验证,属于“违规颁发”。
2. 微软:信任机制反应滞后
Fina Root CA 被“微软根证书计划”纳入信任列表,这意味着 Windows 系统及 Edge 浏览器(全球市场份额约 5%)会默认信任其签发的证书。但微软直到事件曝光后才采取行动——通过“不允许列表”阻止证书使用,却未解释为何四个月内未发现这一违规操作。
与之对比,谷歌(Chrome)和 Mozilla(Firefox)表示,其浏览器从未信任 Fina Root CA,相关用户无需额外操作;苹果暂未回应是否信任该 CA。
3. 透明日志:监督作用未发挥
为防止错误证书流通,行业规定所有 TLS 证书必须上传至“公开透明日志”,以便及时发现问题。但这三张证书上传后,长达四个月未被任何机构或专家察觉,说明日志的“监督预警”功能并未有效落地。
攻击路径:攻击者如何利用证书?
TLS 证书的核心作用是“绑定域名与公钥”,拥有合法证书的攻击者可伪装成正规服务发起“中间人攻击”,具体路径可分为两步:
- 劫持网络路由:通过“BGP 劫持”技术——即操纵边界网关协议(互联网区域网络的连接规范),向用户设备发送虚假路由信息,让设备误以为攻击者的服务器就是真正的 1.1.1.1 DNS 服务器;
- 解密并篡改流量:利用错误证书与用户设备建立加密连接,解密原本受保护的 DNS 或 VPN 流量,实现数据窃取、内容篡改(如将合法网站跳转至钓鱼页面)等攻击。
行业警示:公钥基础设施需“补牢”
公钥基础设施(PKI)是互联网信任的“基石”——从电子邮件、网上银行到政府网站,均依赖 TLS 证书确认服务合法性。此次事件暴露的不仅是单一 CA 的违规,更是整个体系的监管漏洞:
- 对 CA 的审核与追责机制需强化,避免“未验证即签发”的低门槛操作;
- 透明日志的“主动监测”能力需提升,不能仅依赖“被动查询”,而应建立自动化预警系统;
- 操作系统与浏览器厂商需优化信任列表的动态管理,缩短违规证书的“存活窗口”。
目前,微软已介入要求 CA 处理问题证书,但事件对用户隐私的潜在影响仍需进一步评估。对于普通用户,建议尽量使用 Chrome、Firefox 等未信任该 CA 的浏览器,并关注设备系统的证书更新通知。
评论