Na první pohled to vypadá jako technická chyba, ale skutečnost je mnohem hrozivější: tři neoprávněně vydané TLS certifikáty pro Cloudflareovu veřejnou DNS službu 1.1.1.1 mohly umožnit útočníkům odposlouchávat šifrované internetové dotazy – a to bez jakéhokoli upozornění uživatelů. Incident, který byl odhalen 4. září 2025, se týká certifikátů vydaných chorvatskou certifikační autoritou Fina RDC 2020, která je podřízená kořenovému certifikátu Microsoftu. To znamená, že Windows automaticky důvěřoval těmto certifikátům – i když Cloudflare nikdy nevydal žádné povolení k jejich vytvoření.
Co se přesně stalo?
Pokusy o získání certifikátů pro IP adresu 1.1.1.1 začaly už v únoru 2024, ale až 24. května 2025 byly tři certifikáty oficiálně vydány. Každý z nich obsahoval Subject Alternative Name (SAN) s touto IP adresou – což je výrazné porušení pravidel, protože certifikační autority nesmí vydávat certifikáty pro IP adresy bez explicitního ověření vlastnictví. Dva z těchto certifikátů zůstaly platné až do 3. září 2025, tedy až do chvíle, kdy Cloudflare zjistil, že něco není v pořádku. V tu chvíli byly okamžitě zneplatněny.
Proč je to tak závažné? Protože šifrované DNS protokoly, jako je DNS over HTTPS (DoH) a DNS over TLS (DoT), jsou přesně tím, co lidé používají k ochraně svého online soukromí. Pokud by útočník měl tyto certifikáty spolu s odpovídajícím privátním klíčem, mohl by zachytit provoz mezi vaším zařízením a serverem 1.1.1.1, dešifrovat vaše DNS dotazy a přesměrovat vás na falešné webové stránky – třeba na podvrženou bankovní stránku nebo login stránku sociální sítě. A vy byste si toho vůbec nevšimli. Všechno by vypadalo jako normální, bezpečné připojení.
Proč to nikdo nezaznamenal dříve?
Cloudflare v prohlášení přiznal: „While this unauthorized issuance is an unacceptable lapse in security by Fina CA, we should have caught and responded to it earlier.“ To znamená, že i oni si uvědomují, že jejich systémy měly detekovat tento problém dříve. Certifikáty byly nalezeny díky Certificate Transparency – systému, který vyžaduje, aby všechny certifikační autority zveřejňovaly všechny vydávané certifikáty v veřejně přístupných logech. Bez tohoto systému by se tato hrozba mohla skrývat měsíce, možná roky.
Je tu ještě jeden důležitý detail: Fina RDC 2020 je součástí Microsoft Root Certificate Program. To znamená, že každý počítač s Windows, který dostal aktualizace, automaticky důvěřoval těmto certifikátům – bez jakéhokoli zásahu uživatele. A to je přesně to, co útočníkům potřebují: důvěru operačního systému.
Kdo je ohrožen a kdo ne?
Ne všichni uživatelé jsou stejně vystaveni riziku. K úspěšnému útoku by bylo nutné splnit tři podmínky:
- Útočník musel mít fyzický přístup k certifikátu a jeho privátnímu klíči – což je velmi nepravděpodobné, pokud nebyl certifikát ukraden z interního systému Fina RDC.
- Uživatel musel používat zařízení, které důvěřuje Microsoft Root Certificate Programu (tedy většina Windows PC).
- Prováděl by DNS dotaz přes DoH nebo DoT a jeho provoz by musel být zachycen v místě, kde útočník mohl provádět man-in-the-middle útok (např. na veřejné WiFi).
Naštěstí, Cloudflare jasně řekl, že jejich služba WARP – jejich VPN pro zvýšení rychlosti a bezpečnosti – není tímto problémem ovlivněna. WARP používá jiný mechanismus šifrování a nezávisí na těchto certifikátech.
Co Cloudflare dělá dál?
Společnost oznámila tři hlavní kroky:
- Zlepšení systému upozornění na neoprávněné vydávání certifikátů pro domény a IP adresy, které vlastní.
- Zvýšení frekvence kontroly Certificate Transparency logů – nyní budou kontrolovány každých 15 minut místo dřívějších 24 hodin.
- Spolupráce s certifikačními autoritami a Microsoftem k odstranění rizikových kořenových certifikátů z důvěryhodných seznamů.
Co se týče APNIC – mezinárodní organizace, která rozděluje IP adresy – byla zmíněna jako „čelící nepříjemné situaci“. To naznačuje, že problém může být širší než se na první pohled zdá, a že jiné organizace mohou být také zranitelné.
Je to jen jeden incident? Ne.
Tento případ není izolovaný. V roce 2019 Cloudflare již zažil podobný problém, kdy chybně vydaný certifikát způsobil přerušení služeb pro některé webové stránky. A v roce 2020 došlo k masovému selhání Let’s Encrypt, kdy tisíce certifikátů byly neplatné kvůli chybě v jejich systému. Tyto případy ukazují, že důvěra v certifikační autority je jako důvěra v banku – a když jedna banka zklame, celá systémová důvěra se rozpadá.
Pro uživatele je důležité pamatovat: bezpečnost DNS není jen otázkou technologie. Je to otázka důvěry – a dnes víme, že důvěra může být zneužita i tím, kdo měl být jejím ochráncem.
Frequently Asked Questions
Jak mohu zjistit, zda jsem byl útočníkem napaden?
Je velmi pravděpodobné, že jste nebyli napadeni – k útoku by bylo potřeba, aby útočník měl přístup k certifikátu i jeho klíči, a zároveň zachytil váš provoz. Pokud používáte moderní operační systém s automatickými aktualizacemi, vaše zařízení už certifikáty Fina RDC 2020 ignoruje. Neexistuje žádný jednoduchý způsob, jak zjistit, zda jste byli cílem – ale pokud jste nezaznamenali neobvyklé chování (např. přesměrování na falešné stránky), pravděpodobně jste v bezpečí.
Proč Microsoft dovolil, aby Fina RDC 2020 byla v důvěryhodném seznamu?
Microsoft přijímá certifikační autority do svého Root Programu na základě bezpečnostních audítů a dodržování standardů. Fina RDC 2020 byla považována za spolehlivou – až do chvíle, kdy porušila pravidla. Takové chyby ukazují, že i nejpečlivější kontroly nemohou zaručit 100% bezpečnost. Microsoft nyní zvažuje odstranění Fina RDC 2020 z důvěryhodného seznamu.
Co mám dělat, abych se chránil před podobnými útoky?
Používejte DNS služby s transparentními záznamy, jako je 1.1.1.1 nebo Google DNS, a vždy aktivujte DoH nebo DoT ve vašem prohlížeči nebo systému. Neinstalujte neznámé certifikáty ručně. Pravidelně aktualizujte operační systém – tyto chyby často zahrnují opravy, které se dostávají přes aktualizace. Pokud používáte WARP, jste výrazně lépe chráněni.
Je tento incident spojen s kryptoměnami nebo blockchainem?
Ne. Tento incident je čistě týká certifikačních systémů a šifrování DNS. Kryptoměny nebo blockchain nejsou přímo zapojeny. Některé zprávy se snaží tento incident propojit s kryptoměnami, protože „bezpečnost“ je v obou případech důležitá – ale technické pozadí je zcela odlišné. Nejde o útok na peněženky, ale na základní infrastrukturu internetu.
Kdy se tohle může stát znovu?
Vždycky. Certifikační systém je složitý a závisí na tisících autorit po celém světě. Každá chyba v jedné z nich může otevřít dveře útočníkům. Cloudflare nyní sleduje certifikáty každých 15 minut – ale neexistuje žádný záruka, že další autorita nebude opět porušit pravidla. Bezpečnost internetu je společná odpovědnost – a to znamená, že i uživatelé musí být vědomi rizik.
Co se stane s Fina RDC 2020?
Fina RDC 2020 je nyní pod zvýšeným dohledem. Microsoft a CA/Browser Forum (mezinárodní sdružení certifikačních autorit) vyžadují podrobnou analýzu jejich bezpečnostních postupů. Pokud se neprokáže, že mohou zabránit opakování, jejich certifikáty budou odstraněny z důvěryhodných seznamů – což by znamenalo, že jejich certifikáty už nebudou fungovat v prohlížečích ani operačních systémech. Pro některé podniky v Chorvatsku to může znamenat vážné technické a finanční následky.
