Привет, Хабр.
Хочу поделиться апдейтом по ситуации с безопасностью в Cloudflare, о которой я писал ранее. Проблема, связанная с тем, что механизм Universal SSL вставляет свои небезопасные записи CAA без привязки аккаунта (RFC 8657), получила официальный ход.
Что нового:
Присвоен NotCVE: Уязвимость зарегистрирована как NotCVE-2026-0001 (Cloudflare Universal SSL CAA augmentation may enable unauthorized DV certificate issuance by weakening RFC 8657 account binding).
Регистрация в VINCE: Отчет принят на рассмотрение платформой координации уязвимостей VINCE (Carnegie Mellon University / CERT/CC). Кейсу присвоен номер VU#840183.
Суть проблемы (кратко):
На тарифах Free и Pro Cloudflare автоматически управляет выпуском SSL-сертификатов, при этом «молча» добавляя разрешающие записи CAA для DigiCert, Let's Encrypt и Google Trust Services. Это поведение перекрывает пользовательские настройки безопасности (даже если вы явно ограничили центры сертификации через DNS) и фактически обнуляет защиту, предусмотренную стандартом RFC 8657.
Это создаёт вектор атаки, полностью аналогичный инциденту с jabber.ru в 2023 году. Если злоумышленник имеет возможность перехватить трафик на этапе валидации домена ACME HTTP-01, он может выпустить легитимный сертификат для вашего ресурса, и ваши CAA-записи этому не помешают. Таким образом, не будет никакой возможности узнать об активном MiTM, если только вы не с лупой мониторите сообщения Certificate Transparency.
Перехват может быть осуществлен разными способами, включая:
Глобально — через BGP hijacking.
Локально — внутри инфраструктуры хостинг-провайдера (как это было реализовано в сети Hetzner во время атаки на jabber.ru).
Сейчас ожидаем реакции вендора и результатов координации через CERT/CC. Буду держать в курсе.
Ознакомиться с полным текстом моего расследования вы можете тут.
