BLOG
Dijital Sertifikasız Bir Dünya Mümkün Mü
Yayınlanma Tarihi
Şubat 9, 2024
Paylaş
Anahtar, dijital sertifika, X.509, dijital imza, SSL/TLS, Handshaking, pem, jks, pfx…vb derken ömrümüzden hatırı sayılır bir süre geçti. Dijital sertifikalar, iletişim yetisine sahip her uygulama her sisteme (OS, IoT, Machine Identity…vb) sirayet etmiş durumdadır ve gün geçtikçe önemi daha da artmaktadır. HTTP, SMTP, FTP, LDAP… vb. gibi birçok kritik protokol artık şifreli kullanılmakta ve dijital sertifikaya ihtiyaç duymaktadır. Eğer bu sistemler sadece kurum içinde hizmet veriliyorsa, kontrolümüzde olan bir otoriteden üretilen sertifika ile işler nispeten daha kolay idame edilebilir. Ancak, global otoriteden temin edilecek bir sertifika ile yolumuza devam edeceksek bir takım kısıtlamalar karşımıza çıkıyor. Bu kısıtlamalardan en çok zorlandığımız sertifikanın geçerlilik süresi olsa gerek. Çünkü güncel koşullar doğrultusunda artık maksimum geçerlilik süresi 13 ay olarak belirlenmiş durumdadır.
CA/B (Certificate Authority / Browser) Forumu, sertifika otoritelerinden, internet tarayıcılarından ve X.509 dijital sertifika kullanan diğer uygulama tedarikçilerinden oluşan gönüllü bir konsorsiyumdur. Bu grup 2005 yılında kurulmuş ve CA (Sertifika Otoriteleri, Certificate Authority)’lar için Baseline Requirements olarak adlandırdıkları bir standart yayımlamışlardır. O gün bugündür bu grup tarafından standartlar düzenlenmekte ve sektörde buna uyum sağlamaktadır.
CA/B formu tarafından 2018 yılında dijital sertifikaların geçerlilik süresi 39 aydan 27 aya (825 gün) düşürülmüştür. Bunda en büyük etken güvenlik zafiyeti bulunan SHA1 algoritmasının kullanımdan kaldırılması olmuştur. 2020 yılında ise CA/B formu dijital sertifikaların geçerlilik süresini 13 aya (397 gün) indirmiştir. Şu anda 13 aylık geçerlilik süresine sahip dijital sertifikalar üretilmektedir. 2015 yılına kadar dijital sertifikalar 5 yıllık olarak kullanılabilmekteydi. Aşağıda dijital sertifikaların geçerlilik süresinin değişimlerine yönelik kısa bir tarihçe paylaşılmıştır.
Geçerlilik süresinin düşürülmesinin iki önemli sebebi vardır. Birincisi standart ile alakalı güncelleme ve değişikliklerin daha hızlı uygulanabilmesidir. Buna SHA1-SHA2 geçişi en iyi örnektir. İkincisi ise dijital sertifika kimliklerinin yani sertifika kullanıcılarının kimliklerinin doğrulanmasıdır. Ne kadar uzun süre o kadar fazla risk demektir. Bu sürenin ne kadar kısa ise dijital sertifika kimliklerinin doğruluğu o kadar evladır. Google’a göre bu süre altı saat gibi kısa bir periyot olmalıdır. Peki mevcut standart olan 13 aylık süre değişecek mi?
CA/B Formu internet tarayıcı geliştiricileri ve sertifika otoriteleri olmak üzere iki ana gruptan oluşmaktadır. Ancak burda standartlar internet tarayıcı geliştiricilerinin yol haritasına göre şekillenmektedir. Microsoft, Google, Apple ve Mozilla majör yön verici kurumlardır. Sertifika otoriteleri bu kurumların internet tarayıcıları ve işletim sistemleri tarafından güvenilmektedir. Bu nedenle bu kurumların programlarına zorunlu olarak tabidir. Dolayısıyla bu kurumlar tarafından belirlenen yol haritası ve programlar de-facto olarak Baseline Requirements standardına dönüşmektedir. Bu işleyişe göre şimdilik dijital sertifikalar için geçerlilik süresi 13 ay olarak sürdürülmektedir. Ancak burada Google’un açıkladığı yol haritasında dijital sertifikalarının geçerlilik süresini 3 aya (90 gün) düşürme planı olduğunu belirmekte fayda var. CA/B formunun önemli bir internet tarayıcısı geliştiricisi üyesi olan Google’un böyle bir yol haritası açıklaması itimada şayan bir konudur.
Mevcut geçerlilik süresi göz önünde bulundurulduğunda yüzlerce farklı uygulama veya sistemde (OS, IOT, Machine Identity…vb) her sene sertifika değişikliğinin yapılması gerekmektedir. Sertifikaları sistemlerin anlayacağı formata çevirmek, yüklemek ve devreye almak kolay iş değil. Zira bazı sistemler dijital sertifikaları jks formatında isterken bazıları pfx ister, bazıları alias bilgisine ihtiyaç duyar, bazıları özel anahtarı RSA standardında ister, bazıları özel anahtarı şifreli isterken, bazıları özel anahtarı okunur ister…vb. Bu gereklilikler kurumun büyüklüğü ve karmaşıklığı dikkate alındığında baş edilmesi narkotik bir huşu, kriminal bir vecd gerektirir. Tüm bu meşgale altyapıdaki neredeyse her ekibin dahil olduğu hafta sonu etkinliklerine dönüşür. Farklı uygulama ve sistemlerin sahiplerini konsolide etmek, süreci belli bir terminde tutmak ve merkezi bir yönetim sağlamak zaten başlı başına bir külfet.
Bu noktada insan düşünmeden edemiyor: Dijital Sertifikasız Bir Dünya Mümkün Mü? Tabiki de mümkün değil. Ancak dijital sertifikaların yaşam döngülerinin yönetim otomasyonu mümkün. Her sistemin istediği nitelikte sertifikaların üretilmesi ve anahtarların oluşturulması, yenilemelerin yapılması ve bu adımların bir iş akışına bağlanması mümkün. Hemde pragmatizme karşı ontolojik bir tepki gibi.
Sertifikaların geçerlilik sürelerinin takip edilmesi, hangi sistemde hangi sertifikaların kullanıldığı gibi konular çoğu kurumda manuel olarak yapılmaktadır. Dolayısıyla gözden kaçan bir sertifikanın yenilenmemesi ne yazık ki hizmetin çalışamaz duruma gelmesine sebep olur. Bu durum bazen teknoloji lideri kurumlarda bile karşımıza çıkabiliyor. Örneğin Şubat 2020’de Microsoft Teams uygulaması sertifika kullanım süresinin dolması nedeniyle hizmet dışı kalmıştı. Bu kurumların böyle bir hata yapmalarını havsalamız almıyor belki ama yüzlerce sistem veya uygulama söz konusu olunca çok kolay bir iş olmayacağını anlayabiliriz.
Dijital sertifikaların yaşam döngüsü beş ana kısımda ele alınabilir.
Üretilen dijital sertifikaların ilgili sistem ve uygulamalara yüklenmesidir.
Farklı sistem ve uygulamalarda kullanılan dijital sertifikaların belirlenmesi, izlenmesi ve takip edilmesidir.
Kullanımda olan bir dijital sertifika ile alakalı bir zafiyet söz konusu olduğunda, örneğin özel anahtarın ele geçirilmesi, ilgili dijital sertifikanın iptal edilmesi ve yeniden üretilmesidir.
Mevcut standarda göre 13 aylık periyotta dijital sertifikaların yenilenmesidir.
Dijital sertifikaların yaşam döngüsünde yer alan tüm süreçlerin otomasyonudur.
Dijital sertifikaların yaşam döngüsünün yönetimi her kurum için çok ciddi ve kritik bir iştir. Günümüz koşullarında bu sürecin manuel olarak yürütülmesi çok sürdürülebilir olmayıp her geçen gün daha da zorlaşmaktadır. Bir çok sistem ve teknolojide olduğu gibi sertifikaların yaşam döngüsü yönetiminin otomatize edilmesi maliyet, regülasyon ve güvenlik açısından çok büyük katkılar sağlayacaktır.
Dijital sertifikasız bir dünya mümkün değil ama dijital sertifikaların hayatımızda daha az yer işgal ettiği bir otomasyon mümkün.
https://www.chromium.org/Home/chromium-security/root-ca-policy/moving-forward-together/