Nel febbraio 2024, la Fina CA, un’autorità di certificazione croata riconosciuta dal programma root di Microsoft, ha emesso senza autorizzazione dodici certificati TLS per l’indirizzo IP 1.1.1.1, utilizzato dal servizio DNS pubblico di Cloudflare. Questa emissione errata ha sollevato preoccupazioni significative sulla sicurezza e sull’affidabilità dell’infrastruttura di fiducia digitale su cui si basa gran parte di Internet.
Il servizio DNS 1.1.1.1 di Cloudflare è progettato per garantire la privacy e la sicurezza degli utenti, supportando protocolli come DNS-over-TLS (DoT) e DNS-over-HTTPS (DoH). Questi protocolli utilizzano certificati TLS per cifrare le comunicazioni tra il client e il server DNS, proteggendo così le query da intercettazioni e manipolazioni. Tuttavia, l’emissione non autorizzata di certificati per 1.1.1.1 ha introdotto una potenziale vulnerabilità: un attaccante in possesso di uno di questi certificati e della relativa chiave privata avrebbe potuto intercettare e decifrare il traffico DNS cifrato, compromettendo la privacy degli utenti.
La questione è emersa pubblicamente nel settembre 2025, quando è stato rivelato che la Fina CA aveva emesso i certificati senza il consenso di Cloudflare. Cloudflare ha prontamente avviato un’indagine interna, confermando che i certificati erano stati emessi per scopi di test interni e non per uso pubblico. L’azienda ha sottolineato che, sebbene non ci fosse evidenza di un uso improprio dei certificati, l’emissione non autorizzata rappresentava una grave lacuna nella sicurezza. Di conseguenza, Cloudflare ha collaborato con Fina CA per revocare i certificati e ha implementato misure per migliorare il monitoraggio e la gestione dei certificati TLS associati ai propri servizi The Cloudflare Blog.
Questo incidente evidenzia una debolezza intrinseca nel sistema di fiducia digitale che sottende gran parte delle comunicazioni sicure su Internet. La fiducia nelle autorità di certificazione è fondamentale per garantire la sicurezza delle comunicazioni online. Tuttavia, l’emissione errata di certificati da parte di una CA riconosciuta dimostra che il sistema non è infallibile. Anche con meccanismi come il Certificate Transparency, che mira a rendere pubbliche tutte le emissioni di certificati, la sorveglianza e la risposta tempestiva rimangono sfide significative.
L’incidente con la Fina CA serve da monito per l’intero ecosistema di sicurezza digitale. È essenziale che le autorità di certificazione adottino pratiche più rigorose per verificare la legittimità delle richieste di certificati e che le organizzazioni implementino sistemi di monitoraggio più efficaci per rilevare e rispondere rapidamente a emissioni non autorizzate. Solo attraverso un impegno collettivo per migliorare la trasparenza, la responsabilità e la vigilanza possiamo rafforzare la fiducia nelle infrastrutture critiche che supportano la sicurezza e la privacy online.