Các nhà nghiên cứu bảo mật đã tiết lộ ba chứng chỉ TLS trái phép được cấp vào tháng 5 năm 2025 cho 1.1.1.1, dịch vụ DNS công cộng được sử dụng rộng rãi, do Cloudflare và APNIC vận hành. Sự việc này không chỉ là một lỗi kỹ thuật đơn thuần mà còn tiềm ẩn một rủi ro bảo mật nghiêm trọng, có khả năng ảnh hưởng đến quyền riêng tư và an toàn dữ liệu của hàng triệu người dùng trực tuyến.

Sự Cố Cấp Phát Chứng Chỉ TLS Sai Quy Trình

Những chứng chỉ này, được phát hành một cách không đúng quy định bởi tổ chức chứng thực Fina RDC 2020, có thể bị kẻ tấn công lợi dụng. Mục tiêu chính là chặn đứng và giải mã các truy vấn DNS được mã hóa, qua đó thu thập thông tin nhạy cảm.

Hậu quả trực tiếp của hành vi này là việc làm lộ lịch sử duyệt web và thói quen truy cập của người dùng, gây tổn hại nghiêm trọng đến quyền riêng tư cá nhân. Một chứng chỉ TLS (Transport Layer Security) là một tài liệu số có chức năng thiết yếu trong việc liên kết tên miền của một trang web với một khóa mã hóa công khai.

Khi một chứng chỉ TLS hợp lệ, nó đảm bảo rằng mọi giao tiếp diễn ra giữa thiết bị của người dùng và máy chủ đều được mã hóa, giữ riêng tư và bảo mật. Tuy nhiên, nếu một bên độc hại hoặc trái phép nắm giữ một chứng chỉ hợp lệ, chúng có thể mạo danh miền và thực hiện một hình thức tấn công nguy hiểm, được biết đến với tên gọi “adversary-in-the-middle” (AiTM) hay tấn công người ở giữa.

Cơ Chế Tấn Công Adversary-in-the-Middle (AiTM) Qua Chứng Chỉ Giả Mạo

Trong một cuộc tấn công AiTM, kẻ xấu sẽ bí mật đứng giữa người dùng và máy chủ đích, chặn đứng và có khả năng thay đổi các gói dữ liệu giao tiếp mà nạn nhân không hề hay biết. Với các chứng chỉ Fina RDC 2020 bị cấp sai, kẻ tấn công có thể giả mạo 1.1.1.1, khiến các truy vấn DNS của người dùng được gửi tới chúng thay vì máy chủ Cloudflare chính hãng.

Điều này cho phép kẻ tấn công đọc nội dung truy vấn DNS, từ đó biết được các trang web mà người dùng đang cố gắng truy cập. Đây là một rủi ro bảo mật cao đối với thông tin cá nhân. Các chứng chỉ Fina RDC 2020 đã được tin cậy mặc định trên các hệ điều hành Windows và trong trình duyệt Microsoft Edge.

Lý do cho sự tin cậy này là Fina RDC 2020 được xích chuỗi đến Fina Root CA, một chứng chỉ gốc là thành phần của Chương trình Chứng chỉ Gốc của Microsoft. Việc tích hợp vào chương trình này mang lại cho Fina một mức độ tin cậy rộng rãi trên các sản phẩm của Microsoft, vô tình tạo ra một kênh tiềm năng cho các cuộc tấn công mạng.

Phạm Vi Ảnh Hưởng và Sự Khác Biệt Giữa Các Nền Tảng

Điều đáng chú ý là không phải tất cả người dùng đều chịu cùng một rủi ro bảo mật. Các trình duyệt lớn khác như Google Chrome và Mozilla Firefox chưa bao giờ đưa Fina vào danh sách gốc tin cậy của họ. Tương tự, Apple Safari cũng không mặc định tin cậy Fina.

Do đó, chỉ những người dùng sử dụng hệ điều hành Windows và trình duyệt Microsoft Edge mới thực sự đối mặt với nguy cơ tiềm tàng từ sự cố này. Điều này nhấn mạnh tầm quan trọng của việc kiểm tra độc lập các chuỗi tin cậy bởi các nhà phát triển trình duyệt khác.

Phản Ứng Kịp Thời Từ Cloudflare và Microsoft

Cloudflare đã nhanh chóng xác nhận rằng họ không hề yêu cầu hay ủy quyền việc cấp phát các chứng chỉ TLS trái phép này. Một phát ngôn viên của Cloudflare cho biết: “Ngay sau khi nhận được báo cáo trên danh sách email minh bạch chứng chỉ, chúng tôi đã ngay lập tức khởi động một cuộc điều tra kỹ lưỡng và liên hệ với Fina, Microsoft, cũng như cơ quan giám sát TSP của Fina.”

Cloudflare cũng đưa ra thông báo trấn an người dùng rằng dịch vụ WARP VPN của họ không bị ảnh hưởng bởi sự cố này. Công ty đã khuyến nghị các bên liên quan giảm thiểu vấn đề bằng cách thu hồi sự tin cậy vào Fina hoặc thu hồi các chứng chỉ bị cấp sai để loại bỏ rủi ro bảo mật tức thì.

Về phía Microsoft, công ty đã hành động bằng cách “liên hệ với tổ chức chứng thực để yêu cầu hành động ngay lập tức.” Ngoài ra, Microsoft có kế hoạch chủ động chặn các chứng chỉ giả mạo này bằng cách thêm chúng vào danh sách chứng chỉ bị từ chối (disallowed certificate list) của mình. Tuy nhiên, một câu hỏi lớn vẫn chưa được giải đáp: Microsoft không giải thích được tại sao các chứng chỉ này lại có thể trốn tránh sự phát hiện trong suốt bốn tháng, mặc dù chúng đã được tạo ra từ tháng 5.

Điểm Yếu Trong Hạ Tầng Khóa Công Khai và An Toàn Thông Tin

Sự cố này làm nổi bật một điểm yếu chí tử trong hạ tầng khóa công khai (PKI) của internet, vốn là nền tảng của lòng tin kỹ thuật số. Việc một tổ chức chứng thực duy nhất bị xâm phạm hoặc mắc lỗi có thể làm suy yếu toàn bộ mô hình tin cậy mà hàng tỷ giao dịch và người dùng dựa vào hàng ngày, tạo ra một rủi ro bảo mật hệ thống.

Các nhật ký Minh bạch Chứng chỉ (Certificate Transparency logs) được thiết lập với mục đích quan trọng là ghi lại mọi chứng chỉ TLS được phát hành công khai. Điều này nhằm đảm bảo rằng bất kỳ trường hợp cấp phát sai nào cũng có thể được phát hiện và xử lý nhanh chóng.

Tuy nhiên, trong trường hợp cụ thể này, các chứng chỉ trái phép đã không được chú ý trong gần bốn tháng. Sự chậm trễ đáng kể này đặt ra những câu hỏi nghiêm túc về hiệu quả và khả năng giám sát của các cơ chế hiện tại.

Nó cũng nhấn mạnh sự cần thiết cấp bách của các quy trình kiểm tra và xác minh chặt chẽ hơn, cùng với sự giám sát liên tục, để duy trì an toàn thông tin và bảo vệ quyền lợi của người dùng cuối. Việc phát hiện và vô hiệu hóa kịp thời các chứng chỉ TLS trái phép là một yếu tố tối quan trọng để ngăn chặn các cuộc tấn công mạng quy mô lớn và bảo vệ dữ liệu nhạy cảm khỏi nguy cơ bị rò rỉ hoặc đánh cắp.