Сертификаты к DNS-серверу 1.1.1.1 смог получить неизвестно кто

Возможно, часть трафика пользователей Microsoft Edge оказалась под угрозой.

В мае 2025 года центр Fina RDC 2020, подчиненный корневому центру сертификации Fina Root CA, выдал три TLS-сертификата для адреса 1.1.1.1 — публичного DNS-сервера, управляемого Cloudflare. О появлении сертификатов стало известно лишь несколько месяцев спустя.

Согласно правилам выдачи сертификатов, центры сертификации обязаны раскрывать IP-адреса, с помощью которых они удостоверились, что лицо, подавшее заявку на выдачу сертификата, контролирует соответствующий адрес. В выданных сертификатах такой информации нет.

Такие сертификаты могут использоваться для расшифровки зашифрованных запросов DNS over HTTPS. Центр Fina Root CA входит в программу Microsoft Root Certificate Program, выданные им сертификаты автоматически признаются Windows заслуживающими доверия.

Теоретически с помощью сертификатов Fina RDC 2020 можно было расшифровывать трафик пользователей браузера Microsoft Edge, идущий к DNS-серверу Cloudflare. Представители Google и Mozilla подчеркнули, что Chrome и Firefox никогда не доверяли этим сертификатам.

Представители Microsoft заявили, что заблокируют проблемные сертификаты со своей стороны — через список запрещенных сертификатов. Кроме того, корпорация попросила центр разобраться с тем, как были выданы эти сертификаты.

Представители самой Fina пока не прокомментировали выдачу сертификатов неизвестно кому.