Кто и зачем получил сертификаты к DNS-серверу 1.1.1.1 и чем это грозит бизнесу и простым пользователям. Объясняю на пальцах, с примерами из реальной IT-жизни и юмором. Узнай, как защитить свои данные — получи консультацию!
Что случилось с сертификатами для DNS 1.1.1.1?
Пару месяцев назад острословы в IT-чатиках вовсю обсуждали — как так вышло, что к DNS-серверу 1.1.1.1 выдали сертификаты лицу «без QR-кода». Обычно выдача сертификата на чужой ресурс — почти как расписаться незаметно в чужом паспорте. Но здесь — не просто домен, а IP-адрес ядреного публичного сервиса по умолчанию. Сами сертификаты выдала Fina RDC 2020 (материнская — Fina Root CA — в программе Microsoft Root, то есть их сертификаты изначально считаются доверенными в Windows). Особый шик — никто не раскрыл IP, через которые происходила верификация. Иными словами, доверие к цепочке рушится, как доминошки.
Почему эта история важна для всех, кто пользуется интернетом?
Весь сыр-бор вокруг TLS-сертификатов — это не игра богов технологий, а наша с вами цифровая гигиена. Благодаря этим сертификатам браузеры вроде Microsoft Edge (а раньше и Opera, и Vivaldi) дружно верят, что соединение с сайтом или сервером реально защищено. Если кто-то получает (или подделывает) такой сертификат — он может открывать, читать и подменять зашифрованный трафик как будто по доверенности. Для бизнеса это может стоить компрометации клиентов, для обычных людей — утечки паролей и личных данных.
Как злоумышленник может воспользоваться поддельным сертификатом?
Если сказать по-простому: имея несанкционированный сертификат на популярный и доверенный IP, злой хакер может развернуть поддельный сервер и начать расшифровывать DNS over HTTPS запросы или направлять пользователей на вредоносные сайты. Ваш браузер и система даже глазом не моргнут — сертификат-то родной, с печатью Windows.
Я в молодости был свидетелем схожей ситуации. Один наш клиент-директор банка был, мягко говоря, в шоке, когда его коммуникации вдруг всплыли на черном рынке. Оказалось — всё из-за дыры в доверительной цепочке и «левого» сертификата. Учитесь на чужих ошибках!
Чем плоха практика «слепой» выдачи сертификатов?
Центры сертификации по современным правилам обязаны прозрачно фиксировать IP и всё, что нужно для верификации. Если цепочка доверия порвана, никто не может быть уверен, что сервер — ваш, подключение — безопасное, а данные — невскрытые. Исторически самые заметные ляпы были у DigiNotar (2011 год — взломали, понавыдавали «фейков» для Google и других гигантов), что отбросило отрасль на годы назад по доверию к PKI.
Что такое CAA записи и почему они всё ещё не спасают от всех бед?
DNS-записи CAA (Certificate Authority Authorization) — штука классная: позволяют явно указывать, кто имеет право выдавать сертификаты для вашего домена. С точки зрения безопасности, это всё равно что поставить табличку «Посторонним сертификатам вход воспрещён». Но если центр сертификации проигнорирует эту табличку (по ошибке или злому умыслу), весь смысл — коту под хвост.
Как уязвимости вроде Heartbleed переводят доверие в реальную угрозу
Знаменитый Heartbleed — когда программисты случайно допустили в OpenSSL такую дыру, что с серверов можно было изымать закрытые ключи, а значит, и компрометировать любые сертификаты. После этого (я участвовал в срочных ночных обновлениях OpenSSL для клиентов — кайф и паника!) отрасль ещё долго мыла раны, а параноики закупали тазики для слёз.
Полные и неполные цепочки — кто отвечает за доверие?
Причина многих головных и не очень болей — неполные цепочки сертификатов. Когда сервер не передаёт промежуточные сертификаты, браузер вынужден лезть «на сторону», чтобы достроить цепочку доверия. Если вдруг доступ к этим ресурсам закрыт (или, например, случился баг на стороне браузера) — соединения падают, пользователи недоумевают: «почему всё красное?». Мне однажды пришлось раскатывать обновление для целого кластера телефонии — и одна неполная цепочка заставила багрепортить и материть всех подряд.
Влияние политики и санкций: когда сертификаты отключают «по звонку»
Всё чаще политика влияет на систему доверия PKI. Пример 2022 года — когда Thawte отзывала сертификаты у наших банков… и бизнес внезапно лишался даже доступа к 1С в облаке, CRM и IP-телефонии. Система, где доверие решает третья сторона, становится ахиллесовой пятой корпоративных сервисов.
Реакция индустрии: что делает Microsoft, а что — другие?
На практике Microsoft заявила: проблемные сертификаты войдут в блэклист, и новые подключения к DNS Cloudflare через Edge станут безопаснее (ну или будем надеяться). Chrome и Firefox давно не доверяют этому CA, и смотрят на такие казусы как на «двоечника у доски». Но с учётом масштаба Microsoft — большинство пользователей по-прежнему под угрозой до реакции со стороны корпорации.
Что делать, чтобы ваш бизнес (и ваши данные) были защищены?
— Проверяйте, кто и когда выдаёт сертификаты для ваших доменов и серверов.
— Используйте CAA-записи, не ленитесь прописывать ограничения.
— Регулярно обновляйте TLS-версии и библиотеки — Heartbleed никто не отменял.
— Не доверяйте цепочке «на автомате» — автоматизация без контроля это как безрульное авто.
— Всегда держите под рукой резервные планы перехода — потеря сертификата или его отзыв теперь не шутка.
Кстати, по-честному: лучшая инвестиция — консультация со спецами, которые уже видели подобные ошарашивающие случаи и точно знают, как из них выходить без лишних потерь. Люди из моей профессиональной орбиты выигрывали для своих компаний недели спокойствия — только потому что вовремя просканировали инфраструктуру и нашли старые или уже отозванные сертификаты.
Мои выводы и совет напоследок
Сертификат — это не просто печать. Это ваша цифровая страховка. Но если кто-то может получить сертификат на ваш сервис — никакая страховка не поможет. Истории вроде этой с 1.1.1.1 — не редкость, и, к сожалению, они будут только множиться. Защитить бизнес, корпоративную сеть и домашние облачные сервисы — задача не только техническая, но и психологическая. Как говорил один бывший коллега админ: «Хочешь спокойной жизни? Будь параноиком, но проверяй логику, не эмоции!"
Нужна помощь с безопасностью TLS-сертификатов? Оставьте заявку, и наши специалисты свяжутся с вами в течение 15 минут — разберем вашу задачу и предложим решение. Получить консультацию бесплатно
