وقال ريان هورست ، الرئيس التنفيذي لشركة Openiar Ventures و TLS وخبير البنية التحتية للمفاتيح العامة ، إن حامل الشهادات 1.1.1.1 يمكن أن يستخدمها في الهجمات النشطة في الوسط التي تعترض الاتصالات بين المستخدمين النهائيين وخدمة Cloudflare DNS ، و Ryan Hurst ، الرئيس التنفيذي لشركة Openiar Ventures و TLS وخبير البنية التحتية للمفاتيح العامة.
“القيام بذلك سيتطلب اختطاف BGP لخداع مضيفك للتفكير [rogue] 1.1.1.1 كان هو الذي يجب أن أتصل به.
كما لاحظ العديد من معلقين ARS ، فمن المحتمل أن يكون هناك العديد من الطرق الأخرى التي يمكن للمهاجم أن يستغلها الشهادات لتثبيت هجوم خصم في الوسط.
من هناك ، يمكن للمهاجمين الذين لديهم حيازة شهادات 1.1.1.1 فك تشفير ، عرض ، والعبث مع حركة المرور من خدمة Cloudflare DNS ، قال هيرست. وأضاف أن خدمة VPN من CloudFlare قد تتأثر بالمثل.
يكشف اكتشاف يوم الأربعاء عن الإخفاقات الرئيسية للبنية التحتية للمفاتيح العامة المسؤولة عن ضمان ثقة الإنترنت بأكمله. إنها الشيء الوحيد الذي يضمن أن Gmail.com و BankoFamerica.com و IRS.Gov وأي موقع ويب حساس آخر يتم التحكم فيه من قبل الكيان الذي يطالب بالملكية.
بالنظر إلى الدور المحوري للشهادات ، يتعين على CAS توفير عناوين IP التي استخدموها للتحقق من أن الطرف يتقدم بطلب للحصول على الشهادة يتحكم في العنوان الذي يريدون تغطية. لا توفر أي من الشهادات الثلاثة تلك المعلومات. ينعكس الحادث أيضًا بشكل سيء على Microsoft لفشله في التقاط الشهادة المصدرة بشكل غير صحيح والسماح لـ Windows بالثقة بها لفترة طويلة من الزمن.
أيضًا في خطأ جزئي ، يوجد CloudFlare وأصحاب المصلحة في PKI ككل ، حيث يتم نشر جميع الشهادات الصادرة إلى سجل شفافية متاح للجمهور. الغرض من السجل هو تحديد الشهادات الصادرة بسرعة قبل استخدامها بنشاط. يشير الاكتشاف العام للشهادات بعد أربعة أشهر من إصدارها إلى أن سجلات الشفافية لم تحصل على الاهتمام الذي كان يهدف إلى الحصول عليه.
