#安全资讯 克罗地亚 CA 未经授权向 1.1.1.1 签发 3 份 TLS 证书并且长达 4 个月才被发现，而且还是由安全圈人士率先发现的。该 CA 证书被微软信任，而无论是微软还是 1.1.1.1 运营方 Cloudflare 都没发现问题，被曝光后才确认相关证书违规签发，该证书可以被用来劫持 Windows 和 Edge 用户，谷歌 / FF / 苹果并不信任这家 CA 所以完全不受影响。查看全文：https://ourl.co/110511

互联网安全圈人士对 Cloudflare 提供的被广泛使用的 DNS 服务 1.1.1.1 出现的 3 个异常 TLS 证书发出警告，这些证书实际上 2025 年 5 月份签发的，但相关利益方并未发现异常直到被曝光出来。

1.1.1.1 是目前非常知名的公共 DNS 服务，该服务支持 DoH 或 DoH 加密 DNS 查询，而被异常签发的 3 个 TLS 证书则可以解密流量，也就是可以利用这些证书进行劫持。

3 个异常的 TLS 证书签发机构均为 Fina RDC 2020，该中级证书使用的根证书隶属于 Fina Root CA，这份根证书则是来自信誉不佳的克罗地亚 Fina 公司。

Fina Root CA 受到微软根证书计划的信任，因此在 Windows NT 平台这些异常的 TLS 证书是可以被信任的，也就是可以利用证书进行非常广泛的劫持行为，对整个互联网都存在巨大威胁。

在帖子曝光这起事件后 Cloudflare 才发布官方声明承认证书颁发存在不当行为：

Cloudflare 并未授权 Fina 签发这些证书，在看到证书透明度列表上的报告后我们立即展开调查并联系 Fina、微软以及 Fina 的 TSP 监管机构，这些机构可以撤销这些异常的证书。目前我们尚未收到 Fina 的回复，Cloudflare WARP VPN 加密数据不受影响。

微软也发布声明回应此事，因为主流浏览器和操作系统里只有微软信任 Fina Root CA 证书：

我们已经联系证书颁发机构要求其立即采取行动，我们还在采取措施通过我们的禁用列表屏蔽受影响的证书以保护客户安全 (但微软并未解释为何几个月都没能识别出来违规签发的证书)。

谷歌、苹果和谋智基金会并未信任这些证书所以完全不受影响：

谷歌表示该公司并未信任该证书因此不受影响，用户也不需要采取任何行动。谋智基金会同样未信任该证书所以 Firefox 浏览器用户也不受影响。苹果则提供了 Safari 信任的根证书签发机构，其中不包括 Fina 公司。

问题发生原因扑朔迷离：

1.1.1.1 这种顶级服务竟然能被违规签发证书已经让人非常惊讶，更让人惊讶的是签发 4 个月后竟然没有任何相关方发现问题并进行纠正，尤其是在证书透明度列表记录证书的情况下，Cloudflare 和微软都没能发现问题。

目前尚不清楚到底是谁申请为 1.1.1.1 签发这些证书，Fina 公司暂时还没有回应因此无法确定原因，以前也发生过类似案例，这种错误签发通常是有人伪造材料进行申请并通过审核，还有就是 CA 机构自己的问题导致错误签发。

但无论是哪种原因都可以说明证书透明度机制没有得到充分的关注，证书透明度机制最初就是为了应对错误签发证书或违规签发证书而设立，此次案例显然说明 Cloudflare、微软甚至是整个业界都没有充分关注该机制。