Cloudflare证书事件暴露公钥基础设施信任危机，影响互联网安全基石

近期，Cloudflare的1.1.1.1 DNS服务曝出其TLS证书私钥泄露事件。这些证书是传输层安全（TLS）协议的关键组成部分，私钥用于数字签名以验证域名的所有权，并解密用户与网站间的通信流量。私钥的泄露意味着攻击者可能利用此漏洞，通过边界网关协议（BGP）劫持等手段，拦截并解密用户与Cloudflare DNS服务之间的通信，甚至可能影响到Cloudflare的WARP VPN服务。

此次事件直接暴露了负责互联网信任保障的公钥基础设施（PKI）存在的重大缺陷。PKI是确保如Gmail、银行网站等敏感网站由合法实体控制的唯一机制。证书颁发机构（CA）本应提供用于验证域名控制权的IP地址信息，但此次泄露的证书却缺失此关键数据。

事件的发生也反映出微软在Windows系统中未能及时发现并阻止此错误颁发的证书，以及Cloudflare和PKI生态系统相关方的责任。尽管所有颁发的证书都会记录在公开透明日志中，但此次事件在证书颁发四个月后才被公开发现，表明透明日志未能达到其应有的监控和预警效果，未能及时阻止潜在的滥用。

查看消息来源