The Cloudflare Blog
·
解决针对1.1.1.1的多个TLS证书的未经授权颁发问题
💡
原文英文,约3400词,阅读约需13分钟。
📝
内容提要
Cloudflare近期发现Fina CA未经授权为其公共DNS解析器1.1.1.1颁发了12个证书。虽然这些证书已被撤销,但未发现恶意使用的证据。Fina CA称这些证书用于内部测试,Cloudflare强调CA应在颁发证书前验证控制权,此事件凸显了证书透明度的重要性。
🎯
关键要点
- Cloudflare发现Fina CA未经授权为其公共DNS解析器1.1.1.1颁发了12个证书。
- 这些证书已被撤销,但未发现恶意使用的证据。
- Fina CA称这些证书用于内部测试,Cloudflare强调CA应在颁发证书前验证控制权。
- 此事件凸显了证书透明度的重要性。
- Cloudflare的公共DNS解析器1.1.1.1服务被广泛使用,支持多种域名和IP地址。
- DNS协议本身缺乏隐私和真实性保护,容易被中间人攻击。
- Cloudflare推动了DNS over TLS (DoT)和DNS over HTTPS (DoH)的开发,以增强安全性。
- Fina CA未能验证请求者对1.1.1.1的控制权,导致证书错误颁发。
- 证书透明度旨在检测证书误发,确保所有CA颁发的证书可供公开检查。
- Cloudflare对事件进行了调查,未发现证书被恶意使用的证据。
- 所有未经授权的证书均有效期为一年,且包含未注册的域名,违反了CA/浏览器论坛的基本要求。
- Cloudflare计划改进证书监控和警报机制,以防止未来类似事件的发生。
- IT管理者应考虑是否需要采取直接行动以撤销这些未经授权的证书。
- 建议所有CA参与证书透明度,以便及时检测未来的类似事件。
➡️
