Odpověď na názor
Odpovídáte na názor k článku Falešné TLS certifikáty pro 1.1.1.1. Názory mohou přidávat pouze registrovaní uživatelé. Nově přidané názory se na webu objeví až po schválení redakcí.
-
Majitel serveru nemá jak zjistit podvodný certifikát a málokdo aktivně CT logy prochází (což se teď změní). Zde to bylo zjištěno jen díky tomu, že Fina ty (vlastně podvodné) certifikáty dala do CT logu. Jinak by na to mohl přijít jedině DoH/DoT klient (v prohlížeči nebo Windows, ale nikde to není implicitně zapnuté) nebo pozorný správce DNS resolveru, který používá forward na 1.1.1.1. Ještě by na to mohl přijít provozovatel nějakého DNS řešení na ochranu klientů. Možnost odhalení by se snížila, kdyby ten útok byl cílený na omezený počet obětí.
Zde byli teoreticky postiženi jen klienti Windows, protože má CA Fina v úložišti a Windows 11 umožňují DoH v nastavení ručně zapnout. Reálný útok to ale zatím podle všech zjištění nebyl. Šlo snad údajně o nějaké interní opatření, které však mělo být podle pravidel proti jejich vlastnímu DNS resolveru a ne proti veřejnému resolveru Cloudflare.
