CA in der Kritik: Zertifikate für 1.1.1.1 bringen Cloudflare auf die Palme

Eine Zertifizierungsstelle (CA) aus Kroatien hat mehrere Zertifikate für die IP-Adresse 1.1.1.1 ausgestellt, ohne die notwendige Genehmigung dafür eingeholt zu haben. Die Adresse gehört zu Cloudflares frei nutzbarem DNS-Server, der auch Anfragen per verschlüsselter HTTP-Verbindung entgegennimmt. Publik wurde der Lapsus eher zufällig, die CA leistete sich jedoch noch mehr Schnitzer.

Digitale Zertifikate sind essenziell für die sichere Kommunikation im Web, daher ist ihre Vergabe an strenge Richtlinien gebunden. Die kroatische CA Fina hielt sich an diese Richtlinien offenbar nicht immer – und das, obwohl sie zumindest in Microsoft-Browsern und der EU-Infrastruktur für qualifizierte Webseiten-Zertifikate (QWAC) als vertrauenswürdig gilt.

Ein Nutzer des Forums Hacker News fand ein von Fina ausgestelltes Zertifikat, das ihm seltsam vorkam und mit dem er eine weitreichende Untersuchung in Gang setzte. Es war für die IP-Adresse 1.1.1.1 ausgestellt, die das US-Unternehmen Cloudflare seit 2018 für einen freien DNS- und VPN-Dienst verwendet. Dieser unterstützt auch DNS over HTTPS (DoH) und braucht dafür ein gültiges Zertifikat. Das stammt jedoch nicht von Fina, sondern von DigiCert – die kroatische CA hatte die IP-Adresse offenbar nur für Testzwecke verwendet.

Unerlaubte Test-Zertifikate für Cloudflare-IP

Das hätte sie aber nicht gedurft. Denn: Um ein digitales Zertifikat zu erhalten, muss der Antragsteller seine Berechtigung am Subjekt des Zertifikats – üblicherweise eines vollqualifizierten Domainnamens (FQDN) oder einer IP-Adresse – nachweisen. Das gilt auch, wenn die CA selber ein Zertifikat ausstellt, etwa zu Testzwecken. Und so landete der Vorgang rasch auf der zuständigen Mailingliste des Browserherstellers Mozilla und rief die Experten auf den Plan.

Die stellten fest, dass es beileibe nicht beim Einzelfall geblieben war – neben einem halben Dutzend Zertifikaten für 1.1.1.1 hatte Fina auch eines für die von Oracle verwaltete IP-Adresse 2.2.2.2 ausgestellt, einige für private IP-Adressen aus dem Netz 10.0.0.0/8 – und bisweilen hatten die Kroaten erstaunliche Kreativität beim Umgang mit Hostnamen bewiesen. Und das nicht seit gestern: Die Historie der 1.1.1.1-Testzertifikate beginnt im Februar 2024, mithin vor anderthalb Jahren.

Cloudflare zürnt, CA wiegelt ab

Der US-Konzern ist wenig amüsiert und findet in einem ausführlichen Blogeintrag deutliche Worte für den Fauxpas: Es handele sich um einen „inakzeptablen Sicherheitsverstoß der Fina CA“. Wer ihr weiter vertraue, solle unmittelbar handeln, um diese Entscheidung zu überprüfen – offenbar ein Wink mit dem digitalen Zaunpfahl gen Redmond. Zudem führte Cloudflare eine Untersuchung durch, die weitere Sicherheitsverstöße ans Licht bringen sollte, etwa durch „Man in the Middle“-Angriffe oder BGP-Hijacks der IP-Adresse 1.1.1.1.

Cloudflare lobte zudem das Programm der „Certificate Transparency“, das seit Jahren CAs verpflichtet, jedes ausgestellte Zertifikat in ein „Ewiges Logfile“ zu schreiben, das über Dienste wie Censys oder crt.sh einsehbar ist. Doch auch deutliche Selbstkritik erspart der Internetkonzern sich nicht: Man habe das fälschlich ausgestellte Zertifikat zu spät bemerkt und werde nun zusätzliche Maßnahmen ergreifen, um künftig schneller von derlei Problemen zu erfahren.

Die betroffene CA hatte sich zunächst gegenüber Cloudflare gerechtfertigt, tat dies später aber auch öffentlich im Mozilla-Bugtracker. Man habe die IP-Adresse versehentlich zu Testzertifikaten hinzugefügt, die jedoch nie außerhalb der Fina-eigenen Testumgebung in Gebrauch gewesen seien. Alle Zertifikate seien mittlerweile zurückgezogen („revoked“) und werde interne Prozeduren und Dokumentation verbessern.

Auswirkungen: für Nutzer gering, Verursacher muss zittern

Ob dieses Versprechen den gestrengen Hütern der Web-PKI genügt, darf man getrost bezweifeln. Die im CA/Browser Forum (CAB) organisierten Hersteller von Webbrowsern und Vergabestellen digitaler Vertrauensnachweise nehmen Verstöße wie diesen nie auf die leichte Schulter. Microsoft bekommt dies derzeit zu spüren und muss wegen eines Tippfehlers bis November Millionen Zertifikate zurückziehen, anderen CAs entzogen CAB-Mitglieder kurzerhand das Vertrauen komplett.

Für die kroatische CA steht immerhin die Verankerung in Microsofts und Adobes Produkten auf dem Spiel und auch die Betreiber der EU-Infrastruktur für qualifizierte Webzertifikate (QWAC) dürften sich den Vorgang sehr genau anschauen. Nutzer des DNS-Dienstes 1.1.1.1 hingegen dürfen aufatmen: Dass ihnen Gefahr drohte, etwa durch abgefangene DNS-Abfragen, ist höchst unwahrscheinlich.

(cku)