Миллионы доменов в зоне риска. Почему ваша защита на Cloudflare может не работать
NewsMakerКак одна настройка может стоить вам безопасности?
Исследователь безопасности заявил о проблеме в архитектуре Cloudflare, которая, по его оценке, затрагивает миллионы доменов на тарифах Free и Pro и может ослаблять защиту от несанкционированного выпуска TLS-сертификатов. Речь о механике Universal SSL, которая при наличии CAA-записей у зоны автоматически добавляет в DNS дополнительные «разрешающие» записи для центров сертификации, но делает это без ограничений, предусмотренных расширениями RFC 8657.
CAA-записи нужны, чтобы владелец домена мог явно указать, каким удостоверяющим центрам разрешено выпускать сертификаты для его имени. RFC 8657 расширяет эту идею двумя ключевыми параметрами: привязкой к конкретному ACME-аккаунту (accounturi) и ограничением методов проверки владения доменом (validationmethods). В идеале это позволяет не просто выбрать «какой CA», а также зафиксировать «каким аккаунтом» и «каким методом» можно получать сертификаты.
Суть претензии в том, что Cloudflare, по описанию в карточке NotCVE, способна вернуть в ответах DNS дополнительные записи вида
Опасность сценария становится понятнее на примере MitM-атак, где злоумышленник получает «позицию на пути» к трафику валидации домена. В таком случае атакующий может попытаться пройти DV-проверку у разрешенного CA от своего имени, запросить сертификат на домен жертвы и затем использовать его для перехвата HTTPS-трафика. В разборе проблемы прямо проводится параллель с инцидентом вокруг jabber.ru в 2023 году, где критическую роль играл перехват на сетевом уровне и возможность пройти валидацию без взлома самого сервера.
Исследователь безопасности заявил о проблеме в архитектуре Cloudflare, которая, по его оценке, затрагивает миллионы доменов на тарифах Free и Pro и может ослаблять защиту от несанкционированного выпуска TLS-сертификатов. Речь о механике Universal SSL, которая при наличии CAA-записей у зоны автоматически добавляет в DNS дополнительные «разрешающие» записи для центров сертификации, но делает это без ограничений, предусмотренных расширениями RFC 8657.
CAA-записи нужны, чтобы владелец домена мог явно указать, каким удостоверяющим центрам разрешено выпускать сертификаты для его имени. RFC 8657 расширяет эту идею двумя ключевыми параметрами: привязкой к конкретному ACME-аккаунту (accounturi) и ограничением методов проверки владения доменом (validationmethods). В идеале это позволяет не просто выбрать «какой CA», а также зафиксировать «каким аккаунтом» и «каким методом» можно получать сертификаты.
Суть претензии в том, что Cloudflare, по описанию в карточке NotCVE, способна вернуть в ответах DNS дополнительные записи вида
CAA 0 issue "letsencrypt.org" или issuewild без параметров RFC 8657, причем эти автоматически добавленные записи могут не отображаться в панели управления, но будут видны при проверке через dig. А по правилам обработки CAA достаточно, чтобы хотя бы одна подходящая запись разрешала выпуск, и тогда более строгие ограничения владельца домена фактически перестают быть гарантией. Опасность сценария становится понятнее на примере MitM-атак, где злоумышленник получает «позицию на пути» к трафику валидации домена. В таком случае атакующий может попытаться пройти DV-проверку у разрешенного CA от своего имени, запросить сертификат на домен жертвы и затем использовать его для перехвата HTTPS-трафика. В разборе проблемы прямо проводится параллель с инцидентом вокруг jabber.ru в 2023 году, где критическую роль играл перехват на сетевом уровне и возможность пройти валидацию без взлома самого сервера.