1.1.1.1 DNS服务误发TLS证书事件:攻击者可解密用户流量
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
网络安全研究人员发现Cloudflare的公共DNS服务1.1.1.1存在三张违规TLS证书,可能导致攻击者拦截加密DNS查询。这些证书由Fina颁发,因其被微软信任而带来安全隐患。Cloudflare已确认未授权签发,并启动调查。微软要求立即采取行动,但未解释为何四个月未发现问题。此事件暴露了公钥基础设施的缺陷,质疑证书透明度机制的有效性。
🎯
关键要点
- 网络安全研究人员发现Cloudflare的公共DNS服务1.1.1.1存在三张违规TLS证书。
- 这些证书可能导致攻击者拦截并解密加密DNS查询,暴露用户的浏览习惯。
- 违规证书由Fina颁发,因其被微软信任而带来安全隐患。
- Cloudflare确认这些证书未经授权签发,并已启动调查。
- 微软要求证书机构立即采取行动,但未解释为何四个月未发现问题。
- 其他主流浏览器用户不受影响,谷歌和Mozilla未信任Fina根证书。
- 此次事件暴露了公钥基础设施的缺陷,质疑证书透明度机制的有效性。
- 调查仍在进行中,关于证书申请者身份及防护机制失效原因等问题待解答。
❓
延伸问答
Cloudflare的1.1.1.1 DNS服务出现了什么问题?
Cloudflare的1.1.1.1 DNS服务存在三张违规签发的TLS证书,可能导致攻击者拦截和解密用户的加密DNS查询。
这些违规TLS证书是由哪个机构签发的?
这些违规TLS证书由Fina RDC 2020证书颁发机构签发。
微软对此事件采取了什么措施?
微软要求证书机构立即采取行动,并计划通过禁用列表屏蔽受影响证书以保护客户。
为什么其他主流浏览器用户不受影响?
谷歌和Mozilla的浏览器从未信任Fina根证书,因此其用户不受影响。
此次事件暴露了哪些安全隐患?
事件暴露了公钥基础设施的缺陷,质疑了证书透明度机制的有效性,显示出单一故障点可能破坏整个信任体系。
Cloudflare对用户的WARP VPN服务有影响吗?
Cloudflare表示,其WARP VPN服务未受此次违规证书事件的影响。
➡️
