Nel mondo della sicurezza informatica si è acceso un nuovo campanello d’allarme: tre falsi certificati TLS sono stati rilasciati per l’indirizzo 1.1.1.1, uno dei DNS pubblici più utilizzati al mondo, gestito da Cloudflare in collaborazione con APNIC. La scoperta è stata resa pubblica solo di recente, nonostante i certificati fossero stati emessi a maggio.

L’episodio desta particolare preoccupazione perché certificati di questo tipo possono potenzialmente essere sfruttati per decifrare le query DNS cifrate tramite protocolli come DNS over HTTPS e DNS over TLS, progettati proprio per garantire la riservatezza delle comunicazioni tra l’utente e il server DNS. Due dei tre certificati risultavano ancora validi al momento della segnalazione.

Un rilascio non autorizzato

I certificati incriminati sono stati emessi da Fina RDC 2020, un’autorità di certificazione subordinata alla Fina Root CA, a sua volta inclusa nel programma di certificati radice di Microsoft. Questo significa che i certificati erano riconosciuti come validi da Windows e, di conseguenza, dal browser web Edge,

Dopo la segnalazione in un forum online, Cloudflare ha confermato che i certificati erano stati rilasciati senza alcuna autorizzazione e ha subito avviato un’indagine contattando Fina, Microsoft e le autorità di supervisione competenti per richiedere la revoca immediata della fiducia nei confronti dei certificati emessi.

Da parte sua, Microsoft ha fatto sapere di aver preso provvedimenti per bloccare i certificati nella lista nera di Windows, riducendo i rischi per gli utenti. Rimane però la domanda di fondo: com’è possibile che certificati così palesemente non autorizzati siano rimasti attivi per quattro mesi senza essere intercettati dai sistemi di controllo automatici?

Le reazioni dei big del web

Cloudflare dns

Crediti: Shutterstock

Il problema riguarda soprattutto gli utenti Windows ed Edge, perché Google Chrome e Mozilla Firefox non hanno mai riconosciuto come affidabili i certificati emessi da Fina. Anche Apple, tramite la lista delle autorità fidate per Safari, non include Fina tra le CA autorizzate. Questo riduce l’impatto potenziale, ma non cancella la gravità dell’accaduto. In mani malevole, infatti, i certificati avrebbero potuto essere utilizzati per attacchi man-in-the-middle, intercettando e alterando le comunicazioni DNS degli utenti diretti a 1.1.1.1.

Secondo Ryan Hurst, CEO di Peculiar Ventures ed esperto di TLS e infrastrutture PKI, chiunque fosse in possesso dei certificati avrebbe potuto impersonare il dominio e decifrare le connessioni, compromettendo la riservatezza dei dati.

L’incidente evidenzia le fragilità strutturali del sistema di certificazione su cui si basa l’intero protocollo TLS. Le autorità di certificazione (CA) hanno il compito di garantire che un certificato associ un dominio al legittimo titolare, ma se una CA rilascia, anche per errore, un certificato non autorizzato, l’intero meccanismo di fiducia vacilla.

Come ha dichiarato la stessa Cloudflare, il sistema delle CA assomiglia a un “castello con molte porte”, in cui basta la compromissione o il malfunzionamento di una sola di esse per mettere a rischio l’intera struttura. Proprio per ridurre i rischi, negli ultimi anni è stato introdotto il meccanismo della Certificate Transparency, ovvero registri pubblici che tracciano in tempo reale ogni certificato emesso. Lo scopo è consentire alle parti interessate di individuare rapidamente certificati anomali. Eppure, in questo caso, il sistema non ha funzionato come previsto visto che i certificati sono rimasti inosservati per mesi, nonostante la loro natura fosse facilmente identificabile.

Implicazioni per utenti e aziende

Per gli utenti finali l’impatto concreto appare limitato, grazie all’intervento tempestivo di Cloudflare e Microsoft e alla mancata fiducia dei certificati da parte di Chrome, Firefox e Safari. Tuttavia, l’episodio dimostra quanto fragile possa essere l’ecosistema di sicurezza su cui si basa Internet. Per le aziende, invece, il caso solleva interrogativi sulla dipendenza da CA terze e sull’efficacia degli strumenti di monitoraggio. Se un singolo errore può mettere a rischio la riservatezza delle comunicazioni DNS di milioni di utenti, occorre rafforzare i meccanismi di audit e di risposta agli incidenti.

Il caso, infine, mette sotto cattiva luce Microsoft, accusata di non aver individuato autonomamente i certificati falsi nonostante i registri di trasparenza fossero pubblicamente consultabili. Un ritardo di quattro mesi nel rilevamento che appare difficilmente giustificabile.