У DNS-сервиса 1.1.1.1 обнаружились три неправильно выданных сертификата — они поставили под угрозу весь интернет

В мае для популярной DNS-службы 1.1.1.1, предоставляемой CDN-оператором Cloudflare и регистратором APNIC, были выданы три TLS-сертификата, которые теперь представляют угрозу корректной работе интернета.

Инцидент указывает на уязвимость в инфраструктуре публичных ключей, отвечающей за аспект доверия в интернете. В Cloudflare эту экосистему сравнили с крепостью, у которой много дверей — сбой в работе одного центра сертификации способен поставить под угрозу безопасность для всех. Компания с самого начала поддерживала систему Certificate Transparency, которая помогла обнаружить факт несанкционированной выдачи сертификатов. Эту также удар по репутации Microsoft, которая не сумела своевременно выявить проблему, и Windows в течение длительного времени доверяла этим сертификатам. Настолько поздно раскрытая проблема указывает, что журналы прозрачности никто не потрудился контролировать.