#安全资讯 调查显示 1.1.1.1 被错误签发的数字证书数量达到 12 份，Cloudflare 承认未能关注 CT 日志。罪魁祸首 Fina CA 称这些证书是在内部测试时填写错 IP 地址，私钥并未泄露。还有个责任方是微软，因为主流公司里只有微软信任这些证书，导致 Windows 和 Edge 浏览器用户安全受到威胁。查看全文：https://ourl.co/110531

昨天蓝点网提到有安全圈人士发现 Cloudflare 运营的公共 DNS 服务器 1.1.1.1 在未经授权的情况下被克罗地亚 Fina CA 签发 3 份数字证书，这些证书可以用于解密流量和进行劫持等。

但事实证明这次事故远比想象的还要严重，调查显示自 2024 年 2 月以来 Fina CA 合计为 1.1.1.1 签发 12 份数字证书，也就是在长达 19 个月的时间里都没人发现这个问题。

业界为避免出现错误颁发或违规颁发数字证书所以开发证书透明度机制 (CT)，该机制会记录每一份数字证书的颁发信息和证书内容，但显然证书透明度机制没有得到应有的关注。

Cloudflare 称这是不接受的安全漏洞：

该公司在接到安全圈人士反馈后便组织内部团队对此事件进行调查，调查发现 Fina CA 签发的并不是 3 份证书，而是自 2024 年 2 月以来合计违规签发 12 份证书，这些证书都没有得到 Cloudflare 的授权。

Cloudflare 称 Fina CA 的这是事件属于不可接受的安全漏洞，不过调查也显示这些被违规颁发的数字证书没有被恶意利用，即被用于以加密方式冒充 1.1.1.1 DNS 解析器提供的服务。

尽管 Cloudflare 也认为应该更早发现并应对这些错误颁发的数字证书，但实际情况是 Cloudflare 和 CA 行业的其他机构都没发现问题。

Fina CA 发布回应称是内部测试签发：

此次事件的主要源头也就是 Fina CA 公司在电子邮件回应中表示，这些证书是为了在非生产环境中对证书颁发流程进行内部测试而颁发的，由于 IP 地址输入错误导致测试证书颁发过程中出现了错误。

作为标准流程的一部分，这些证书已经发布在证书透明度日志服务器上，而这些证书的私钥仍然保留在 Fina CA 控制的环境中，并在证书被撤销前就被立即销毁，Fina CA 坚称这些错误颁发的证书不会以任何方式危害用户或任何其他系统。

那这是否意味着 Fina CA 没有错误？这是不可能的，证书颁发过程遵循的基本原则就是只有获得授权才能颁发，Fina CA 未经 Cloudflare 申请就颁发证书已经是严重的违规行为。

Cloudflare 解释为何没能发现问题：

Cloudflare 称该公司存在三次失误，第一次是 1.1.1.1 是个 IP 数字证书，Cloudflare 的系统并不能针对 IP 数字证书发出警报。

第二次是即便该公司能够收到 IP 证书警告，也没有实施足够的过滤措施，因为 Cloudflare 管理的域名和证书非常庞大，人工审核团队显然跟不上节奏。

第三次是监控噪音太大，也就是管理的域名和证书太多导致无法为所有域名启用警报，目前 Cloudflare 正在解决这些问题。

责任方还有微软公司，因为受害者都是微软用户：

我们假设 Fina CA 说谎也就是私钥被用于劫持，那此次事件最大的受害者就是微软的用户，因为迄今为止只有微软和欧盟信托服务机构 (EU Trust Service) 两家机构信任 Fina CA。

包括谷歌、苹果、Mozilla 等都不会信任 Fina CA，因此无论是 Chrome、Safari 还是 Firefox 都不承认 Fina CA 颁发的任何证书，所以使用这些浏览器的用户不受任何影响。

而使用 Windows 和 Microsoft Edge 浏览器则会受到影响，因为微软信任 Fina CA 签发的这些证书，Web/PKI 专家表示问题不在于 1.1.1.1 证书，而是微软为何信任这个违规的 CA 机构。

通常情况下对于存在严重违规的 CA 机构，业界都会以不信任的方式阻断其数字证书，目前没人知道为什么其他公司都不信任的情况下，微软仍然信任 Fina CA。