Uma grave falha de segurança veio a público esta semana, revelando a emissão indevida de 12 certificados TLS para o popular serviço de DNS 1.1.1.1 da Cloudflare. Este incidente levanta sérias preocupações sobre a privacidade e segurança de milhões de utilizadores, uma vez que poderia ter permitido a interceção e leitura das suas pesquisas na internet. O mais alarmante é que os certificados foram emitidos por uma Autoridade de Certificação (CA), a Fina CA, que faz parte do programa de confiança da Microsoft.
Os certificados TLS são, em termos simples, o cartão de cidadão digital dos sites e serviços online, garantindo que a sua ligação é segura e que está a comunicar com a entidade correta. Uma emissão fraudulenta destes certificados é o equivalente a dar a um impostor uma chave-mestra para se fazer passar por um serviço legítimo, podendo espiar ou manipular os dados dos utilizadores.
O que aconteceu exatamente?
A descoberta inicial, partilhada em fóruns de segurança online, apontava para três certificados emitidos indevidamente. No entanto, uma auditoria interna da Cloudflare revelou que o número total ascendia a 12 certificados, emitidos desde fevereiro de 2024. Todos foram, entretanto, revogados.
Estes certificados poderiam ter permitido a um atacante fazer-se passar pelo serviço de DNS 1.1.1.1 da Cloudflare, que é usado por milhões de pessoas para traduzir os nomes dos sites (como tugatech.com.pt) nos endereços numéricos que os computadores entendem. Com esse poder, seria possível ler as pesquisas de DNS ou até mesmo redirecionar os utilizadores para sites maliciosos.
A justificação da Fina CA e a desconfiança da Cloudflare
Contactada sobre o incidente, a Fina CA afirmou que os certificados foram "emitidos para testes internos do processo de emissão de certificados no ambiente de produção", devido a um erro na inserção de endereços IP. A empresa garante que as chaves privadas associadas nunca saíram do seu controlo e foram "destruídas imediatamente", não comprometendo a segurança dos utilizadores.
No entanto, a Cloudflare está a levar o caso "extremamente a sério". A empresa afirmou que, por precaução, "tem de assumir que existe uma chave privada correspondente que não está sob o controlo da Cloudflare", uma vez que não tem forma de verificar as alegações da Fina CA. A emissão de um certificado para um domínio ou IP sem a autorização explícita do seu proprietário é uma violação cardinal das regras de segurança na Internet.
Uma falha partilhada?
A Cloudflare também assumiu parte da responsabilidade no incidente. A empresa admitiu que falhou na monitorização dos registos de Transparência de Certificados (Certificate Transparency), um sistema público que regista todos os certificados emitidos. Segundo a Cloudflare, o seu sistema não estava configurado para alertar sobre certificados emitidos para endereços IP, como é o caso do 1.1.1.1, o que atrasou a deteção da falha. A empresa já está a corrigir estas lacunas.
O papel controverso da Microsoft
Este caso coloca também os holofotes sobre o Programa de Raiz de Confiança (Root Certificate Program) da Microsoft. A Fina CA é uma entidade que, por defeito, só é fidedigna para a Microsoft e para o EU Trust Service. Gigantes como a Google, Apple e Mozilla não incluem a Fina CA nas suas listas de autoridades de confiança.
Especialistas em segurança web, como Filippo Valsorda, citado pelo Ars Technica, argumentam que a questão principal não é apenas o certificado do 1.1.1.1, mas "porque é que a Microsoft confia nesta CA operada de forma descuidada". A situação levanta questões sobre os critérios de rigor da Microsoft para incluir e manter Autoridades de Certificação no seu ecossistema, do qual dependem milhões de utilizadores do Windows em todo o mundo.
Até ao momento, não foi encontrada qualquer evidência de que os certificados tenham sido usados de forma maliciosa. Ainda assim, o incidente serve como um alerta sério sobre a fragilidade da infraestrutura de confiança que sustenta a web.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech
