TÍTULO: Certificados TLS Inválidos para Serviço DNS 1.1.1.1 da Cloudflare Geram Alerta de Segurança
SLUG: certificados-tls-invalidos-servico-dns-1-1-1-1-cloudflare-alerta-seguranca
CONTEÚDO:
Círculos de segurança na internet estão emitindo um alerta sobre a emissão de três certificados TLS para o serviço 1.1.1.1, um resolvedor DNS amplamente utilizado, operado pela rede de entrega de conteúdo Cloudflare em parceria com o Centro de Informações da Rede da Ásia-Pacífico (APNIC).
Os certificados em questão, emitidos em maio, possuem a capacidade de decifrar consultas de busca de domínio que são criptografadas através do protocolo DNS over HTTPS (DoH). Este protocolo é projetado para fornecer criptografia de ponta a ponta quando dispositivos de usuários finais buscam o endereço IP de um domínio específico que desejam acessar. A preocupação de alguns especialistas em segurança se estende à possibilidade de que esses certificados também possam sustentar outros serviços sensíveis, como o WARP, uma rede privada virtual (VPN) oferecida pela Cloudflare. No momento em que a publicação original foi ao ar, os certificados permaneciam válidos.
👉 Leia também: Guia completo de Noticia
Entendendo o 1.1.1.1 e o Serviço DNS
O Sistema de Nomes de Domínio (DNS) atua como a “lista telefônica” da internet, traduzindo nomes de domínio legíveis por humanos (como “google.com”) em endereços IP numéricos que os computadores usam para se comunicar. O serviço 1.1.1.1, lançado pela Cloudflare e APNIC, ganhou popularidade por sua promessa de velocidade e privacidade, oferecendo uma alternativa aos resolvedores DNS padrão fornecidos por provedores de internet. Ele é amplamente adotado por usuários que buscam uma navegação mais rápida e segura, com a garantia de que suas consultas DNS não serão registradas ou vendidas.
A importância do 1.1.1.1 reside na sua capacidade de processar bilhões de consultas diariamente, tornando-o um componente crítico para a infraestrutura de muitos usuários e empresas. A confiança depositada neste serviço é fundamental, especialmente quando se trata de aspectos de segurança digital e privacidade.
A Essência dos Certificados TLS e a Natureza da Ameaça
Os certificados TLS (Transport Layer Security), anteriormente conhecidos como SSL, são componentes cruciais para a segurança na internet. Eles estabelecem uma conexão criptografada entre um servidor e um cliente (como um navegador web), garantindo que os dados transmitidos sejam privados e íntegros. Além da criptografia, os certificados TLS também servem para autenticar a identidade de um servidor, confirmando que você está se comunicando com o site ou serviço pretendido e não com um impostor. Uma Autoridade Certificadora (CA) é uma entidade confiável que emite esses certificados, atestando a identidade do proprietário do domínio.
A ameaça gerada pelos certificados TLS emitidos indevidamente para o 1.1.1.1 é significativa. Ao possuir um certificado válido (ainda que de forma ilegítima) para o domínio 1.1.1.1, um atacante poderia potencialmente interceptar e decifrar o tráfego DNS destinado a este serviço. Isso abre a porta para ataques “man-in-the-middle” (homem no meio), onde o atacante se posiciona entre o usuário e o serviço, lendo ou modificando as comunicações sem que as partes envolvidas percebam.
DNS over HTTPS (DoH) e a Quebra de Privacidade
O DNS over HTTPS (DoH) é um protocolo relativamente novo que visa aumentar a privacidade e a segurança das consultas DNS. Tradicionalmente, as consultas DNS são enviadas em texto simples, o que as torna vulneráveis à espionagem e à manipulação por terceiros, como provedores de internet ou atacantes. O DoH encapsula essas consultas dentro de uma conexão HTTPS criptografada, a mesma tecnologia usada para proteger a navegação em sites seguros. Isso significa que as consultas DNS se tornam indistinguíveis do tráfego web normal, dificultando a interceptação e a censura.
A emissão indevida dos certificados TLS para o 1.1.1.1 compromete diretamente a eficácia do DoH. Se um atacante conseguir usar esses certificados para se passar pelo serviço 1.1.1.1, ele poderá decifrar as consultas DoH que deveriam ser criptografadas de ponta a ponta. Isso anula o principal benefício de privacidade do DoH, expondo os hábitos de navegação dos usuários e permitindo a manipulação de respostas DNS, o que poderia direcionar os usuários para sites maliciosos ou bloquear o acesso a determinados conteúdos.
Implicações Mais Amplas: O Caso do WARP e Outros Serviços
A preocupação com os certificados não se limita apenas ao serviço DNS 1.1.1.1. O WARP, uma VPN oferecida pela Cloudflare, é outro serviço que pode ser impactado. O WARP utiliza a infraestrutura do 1.1.1.1 para rotear o tráfego de internet dos usuários, prometendo maior velocidade e segurança. Se os certificados indevidos forem usados para comprometer o 1.1.1.1, há uma preocupação legítima de que o tráfego do WARP também possa ser vulnerável à interceptação e decifração. A menção de que os certificados “podem sustentar outros serviços sensíveis” sugere que a extensão do problema pode ser mais ampla, afetando qualquer serviço da Cloudflare ou de terceiros que dependa da autenticidade e integridade das comunicações com o 1.1.1.1.
A Descoberta e a Origem dos Certificados
Embora os certificados tenham sido emitidos em maio, sua existência só veio a público quatro meses depois, na quarta-feira, através de uma postagem em um fórum de discussão online. Essa demora na descoberta é um ponto de preocupação, pois durante esse período, os certificados poderiam ter sido potencialmente explorados sem o conhecimento da comunidade de segurança ou dos usuários. A divulgação ocorreu em um grupo de discussão do Mozilla, especificamente o “dev-security-policy”, um canal onde questões críticas de segurança de certificados são frequentemente debatidas.
Os certificados foram emitidos pela Fina RDC 2020, uma autoridade certificadora subordinada à Fina Root CA. As autoridades certificadoras subordinadas são CAs que recebem permissão de uma CA raiz para emitir certificados. Essa estrutura hierárquica é comum na infraestrutura de chave pública (PKI), mas exige que todas as CAs na cadeia de confiança operem com o mais alto nível de segurança e conformidade.
A Hierarquia das Autoridades Certificadoras e o Programa Microsoft Root
A Fina Root CA, por sua vez, é uma CA raiz que é confiável pelo Programa de Certificados Raiz da Microsoft. Este programa é responsável por governar quais certificados são considerados confiáveis pelo sistema operacional Windows. Isso significa que qualquer sistema operacional Windows que confie no programa de certificados raiz da Microsoft automaticamente confiaria nos certificados emitidos pela Fina Root CA e, por extensão, pela Fina RDC 2020. A implicação é que usuários do Windows, incluindo aqueles que utilizam o navegador Microsoft Edge (que representa aproximadamente 5% dos navegadores ativos na internet), estariam potencialmente vulneráveis a ataques que explorassem esses certificados indevidos, pois seus sistemas os considerariam legítimos.
A confiança em uma CA raiz é um pilar fundamental da segurança na internet. Quando uma CA raiz é comprometida ou emite certificados indevidamente, a confiança em toda a cadeia de certificados que ela supervisiona é abalada, com consequências potencialmente vastas para a segurança dos usuários.
📌 Confira também: artigo especial sobre redatorprofissiona
O Impacto Potencial na Segurança Digital
A emissão indevida desses certificados para o serviço 1.1.1.1 levanta sérias questões sobre a integridade da infraestrutura de segurança da internet. A capacidade de decifrar o tráfego DoH representa uma ameaça direta à privacidade dos usuários, permitindo que terceiros monitorem suas atividades online. Além disso, a possibilidade de que outros serviços sensíveis, como o WARP, possam ser afetados, amplia o escopo do risco. A situação sublinha a importância da vigilância contínua sobre as autoridades certificadoras e a necessidade de mecanismos robustos para detectar e revogar certificados emitidos de forma imprópria o mais rápido possível. No momento da publicação original, os certificados ainda estavam válidos, indicando uma janela de vulnerabilidade contínua para os usuários.
A comunidade de segurança da internet continua a monitorar a situação de perto, buscando entender a extensão total do problema e as medidas necessárias para mitigar os riscos associados a esses certificados indevidamente emitidos.
Fonte: arstechnica.com
Para seguir a cobertura, veja também certificates.