Центр сертификации Fina выдал 12 поддельных сертификатов для Cloudflare, и они оставались действительными 554 дня

3 сентября 2025 года исследователь Youfu Zhang сообщил в рассылке Mozilla dev-security-policy, что центр сертификации Fina RDC 2020 выпустил несколько TLS-сертификатов для IP-адреса 1.1.1.1. Этот адрес используется в публичном DNS-резолвере Cloudflare совместно с APNIC. Подтвердить контроль над ним сторонними заявителями невозможно, что нарушает правила CA/Browser Forum .

Fina RDC 2020 действует как подчинённый центр Fina Root CA , который входит в Microsoft Root Certificate Program . В Windows его сертификаты считались доверенными. В Mozilla уточнили, что Firefox их изначально не принимал.

Позднее Cloudflare опубликовала подробный разбор инцидента . Компания заявила, что с февраля 2024 по август 2025 года Fina без разрешения выпустила 12 сертификатов для 1.1.1.1. Все они уже отозваны .

Cloudflare отметила, что признаков их использования в атаках нет. Для подмены сервиса злоумышленнику потребовались бы приватный ключ, доверие клиента к Fina CA и возможность перехвата трафика.

В Fina объяснили выпуск сертификатов «внутренним тестированием». В Cloudflare ответили, что выдавать документы на чужие IP-адреса недопустимо и это нарушает как отраслевые стандарты, так и собственную политику Fina .

Ошибка стала заметна только потому, что Fina внесла сертификаты в Certificate Transparency . Эта система журналов фиксирует все выпуски, и именно там проблему обнаружили исследователи.

Cloudflare признала, что её собственные механизмы мониторинга не сработали: IP-сертификаты не отслеживались, фильтры были недостаточными, а часть уведомлений отключили из-за перегрузки данными. Теперь компания обещает улучшить систему мониторинга и пересмотреть процессы реагирования.

Проверка показала, что сертификаты были действительны в течение года и содержали фиктивные домены вроде test.hr и testssl.finatest.hr. В некоторых документах владельцем значилась вымышленная организация TEST D.D.

Риск касался только клиентов, доверяющих Fina CA. Этот центр входит в EU Trust Service , но отсутствует в списках Mozilla , Apple , Chrome и Android . Microsoft оперативно добавила проблемные сертификаты в disallowed list.

Кроме того, Cloudflare проверила маршрутизацию 1.1.1.1 и не нашла признаков BGP-перехватов.

Согласно хронологии , первый сертификат был выдан 18 февраля 2024 года и отозван через 33 минуты, а последний — 26 августа 2025 года и удалён только 4 сентября. Первые упоминания об инциденте появились на Hacker News и в рассылке Certificate Transparency.

Cloudflare заявила, что это первый случай несанкционированной выдачи сертификатов для 1.1.1.1. Компания подчеркнула: инцидент показал, насколько уязвима система доверия к центрам сертификации — сбой одного участника способен создать риски для пользователей.