Uzmanlar, bir sonraki Let’s Encrypt kök sertifikanın süresi dolmadan önce ağ ve güvenlik yöneticilerinin atması gereken adımlara ağırlık veriyor.
İnternet, Let’s Encrypt ’in kök sertifikalarından birinin 30 Eylül’de sona erdiği zamanki kadar kötü bir şekilde kırılmamalıydı. Son kullanma tarihi önceden bilinmesine ve Let’s Encrypt, kullanıcıları birçok web sitesini, hizmeti ve hizmeti hazırlamak için adımlar attığını belirtmişti. Eski cihazlarda sorun çıktı ve insanlar uygulamalarına ve çevrimiçi araçlarına erişemez hale getirdi. Security Headers’ın kurucusu Scott Helme’ye göre hazırlıksız yakalanan kuruluşlar arasında Palo Alto, Cisco Umbrella, Catchpoint, Shopify, Fortinet ve Netlify vardı.
Helme, “Let’s Encrypt bu sorunu önlemek için gerçekten mümkün olan her şeyi yaptı” diyor. “Kök sertifikaların son kullanma tarihleri vardır.”
Bir sertifikanın ömrü genellikle 20 ila 25 yıl arasındadır ve Helme’ye göre yakın gelecekte bunun gibi daha fazla olay yaşanacaktır. Önümüzdeki yıllarda birden fazla büyük sertifika yetkilisinden alınana birkaç kök sertifikanın süresinin dolması planlanıyor.
Süresi dolmuş kök sertifikaların ortamları üzerindeki etkisini hafife alan kuruluşlar, bir sonraki sertifikanın süresi dolduğunda başka bir kriz riskiyle karşı karşıyadır ve bu sefer şanslı olanlar gelecekte bu kadar şanslı olmayabilirler.
Sertifika sağlayıcısı Sectigo’nun uyumdan sorumlu başkanı Tim Callan, “Şirketler, sertifikalarından herhangi birini bazen beklenmedik bir zamanda değiştirmeye ihtiyacını hesaba katacak sağlam ve eksiksiz bir plan geliştirene kadar gelecekti sorunlar için hala risk altındadır” diyor.
Kök Sertifikalar Üzerine Bir El Kitabı
Çoğu kişi, web sitelerine erişenlerin verilerinin güvenli olduğundan emin olmak için sunucularına yükledikleri SSL sertifikalarına aşinadır. Güvenilir kökler olarak da adlandırılan kök sertifikalar daha güçlüdür ve diğer sertifikaları vermek için kullanılır.
Her cihazda, Kök Depo adı verilen önceden yüklenmiş kök sertifikalar koleksiyonu bulunur. En iyi bilinenlerden bazıları Microsoft, Apple, Google ve Mozilla’dır. Android cihazlar Google’ın mağazasını kullanırken macOS ve İOS cihazları Apple’ın mağazasını kullanır.
Son kullanıcı SSL sertifikaları iki yıla kadar sürerken kök sertifikalar onlarca yıl yaşar. Yine de, teoride eski sertifikaların yerine yeni sertifikalar oluşturduğundan, kök sertifika sürelerinin sona ermesi herhangi bir sorun teşkil etmemelidir. Helme, blog yazısında “güncellemeler yoluyla oradaki tüm müşterilere, genellikle uzun yıllar öncesinden dağıtılır” diye yazdı.
Güncellemeler Kritiktir
Callan, kök sertifikaları güncelleme işleminin SSL sertifikalarının işlenme biçiminden farklı olduğunu söylüyor. Kök güncellemelerinin istemci tarafında yapılması gerekiyor. Çünkü eninde sonunda güven oluşturabilmesi gereken makine bu diyor. Kök depolar, işletim sistemi veya uygulama düzeyinde bulunur ve genellikle otomatik olarak güncellenir. Ancak Callan, eski sistemler ve cihazlar için kullanıcı tarafından açık bir eylem gerektirebileceği konusunda uyarıyor. Bazı çok eski veya kısıtlı cihazlar için güncellemeler hiçbir koşulda mümkün değildir.
Eski Android cihazlar, yeni kök sertifikaları almak için güncellenemeyen cihazları kategorisine girer. Let’s Encrypt, Android 5.0 Lollipop veya önceki sürümlerin kullanıcılarına Firefox tarayıcısını indirmelerini tavsiye ederek sona erdi. Chrome, Safari ve Edge dahil olmak üzere çoğu tarayıcı, yüklü oldukları işletim sistemiyle aynı kök sertifikalara güvenir, ancak Firefox’un otomatik olarak güncellenen kendi Kök Deposu vardır.
Google, Android kullanıcılarının bir dahaki sefere bu sorunla karşılaşmaması için gelecekte kendi Kök Mağazasına sahip olmayı planlıyor.
Helme, İOS ve macOS’un en son sürümlerine sahip bazı cihazların, aynı zamanda geçerlilik süreleri dolmuş olsalar bile, kök sertifika ile SSL sertifikaları arasında yer alan bir sertifikaya güvendikleri için hala sorun yaşadığını fark etti. “Bir orta düzey sertifikaya sahip olmak, yapılandırmanızın statik bir parçası gibi ele alınması son derece kötü ve sonunda sorunlara neden olacaktır. Her yeni sunucu sertifikası aldığınızda sertifika paketinin tamamı güncellenmelidir!” diye yazdı Helme.
Kuruluşlar, süresi dolmak üzere olan bir sertifikanın yerine alacak yeni bir sertifika olduğunu öğrendiğinde, bunları güncellemeleri gerekir. Helme’nin de belirttiği gibi, tüm sertifika paketinin güncellenmesi gerekiyor.
Sertifikalarınızı Bilin
Let’s Encrypt bölümü, sertifika çevikliğinin kritik önemini, yani bir kuruluşun ortamında sertifikaların değiştirilmesini gerektiren olaylara gerçek zamanlı olarak yanıt verme becerisini gösteriyor, diyor Callan.
“Sertifika çevikliği eksikliği, sertifika sabitleme veya elle oluşturulan kök depolar gibi katı ve modası geçmiş tasarım kararlarından kaynaklanabilir, ancak çoğu zaman kuruluşun bağlı olduğu sertifikaların tamamını anlama ve sürdürme konusundaki basit başarısızlıktan kaynaklanır” diyor.
Ortamlarında kullanılan tüm sertifikaların, fiziksel olarak nerede dağıtıldıkları ve bunlara bağlı sistemleri ve süreçleri nasıl etkiledikleri gibi bilgilerle birlikte tam bir envanteri şu anda mevcut değilse, bir tane oluşturmanın zamanı gelmiştir. Envanter, tüm kök, ara ve son kullanıcı sertifikalarını dikkate almalıdır, çünkü bu zincirdeki tek bir sertifika bile geçersiz hale gelirse her şey bozulur. Bazı sertifikaların diğerlerinden farklı bir güncelleme süreci vardır, bu nedenle bu sürecin nasıl göründüğünü önceden bilmek de çok önemlidir.
Callan, “Bu envanter, her bir sertifikanın süresinin ne zaman sona ereceği ve nihai olarak değiştirilmesi için herhangi bir teknik, güvenlik veya uyumluluk gereksinimlerini içermelidir” diyor.
Callan’a göre, süresi dolan sertifikalarla başa çıkmanın en iyi yolu, kullanıcının çok az işlem yapması gereken otomatik bir sertifika yenileme sistemine sahip olmaktır. Callan, “E-tabloyla yönetim günleri geride kaldı” diye ekledi.
Bunları Yapmayın
Let’s Encrypt sorununu çözmek için çabalarken, bazı kuruluşlar insanların uygulamalarına ve araçlarına erişebilmeleri için güvenilmeyen veya geçersiz sertifikalara izin verme kararı aldı. Dijital güveni sarstığı için bu iyi bir fikir değil. Callan, “Güven zincirinden vazgeçecek olsaydık, kendimizi şu anda kriptografik olarak güvenli kamu güven sertifikaları mekanizması tarafından engellenen herhangi bir sayıda kötü niyetli ortadaki aktör ve diğer saldırılara maruz bırakmış olurduk” diyor.
Let’s Encrypt Bir Sonraki Son Kullanma Tarihi Nedir?
Let’s Encrypt ’in yeni kök sertifikası olan ISRG Root X1’in süresinin 4 Haziran 2035’te sona ermesi planlanıyor ve bu da kullanıcılara hazırlanmaları için bolca zaman tanıyor. Ancak, diğer sertifikalar daha erken sona erecektir. Helme, “Önümüzdeki birkaç yıl içinde, tüm büyük CA’lar için sona eren çok çeşitli Kök Sertifikaları göreceğiz ve daha geniş ekosistemde bir şeyler değişmedikçe aynı sorunları yaşamaya devam edeceğiz” dedi.
Callan, yöneticilerin hangi sona erme tarihine dikkat etmeleri gerektiğini belirlemek için “biraz tembellik ve hatta spekülasyon” gerektiğini söylüyor. Microsoft, Mozilla ve Apple kök programlarındaki tüm genel köklere baktıktan sonra Callan, GlobalSign, GeoTrust ve Cybertrust dahil olmak üzere birçok büyük CA’dan ve eski CA’dan gelen köklerin gelecek yıl sona ereceğini buldu.
Ancak, geçerliliklerin sona ermesi, mutlaka yaygın bir etkiye sahip olacakları anlamına gelmez. Bu tür bir etkiye sahip olmak için kök sertifikaya büyük ölçüde güvenilmesi gerekir.
Callan, çok eski kök depolarında listelenen kök sertifikaların, sorunların ortaya çıkma olasılığının daha yüksek olduğu sertifikalar olduğunu söylüyor. Android 5.1’in kök deposunda depolanan kök sertifikaların analizi, Microsoft, Mozilla ve Apple kök programlarındakilerle aynı kökleri buldu. Bu sertifikaların süresi dolduğunda, Android cihazların bu sefer Let’s Encrypt olanlara benzer sorunlarla karşılaşacağını gösteriyor.
Callan, “Bu üçünden herhangi birinin önemli bir son kullanma tarihi olacağının garantisi olmasa da, hepsine göz kulak olmaya değer” diyor.
Let’s Encrypt ile ilgili diğer yazılarımıza ulaşmak için: