Apple, cesur bir hareketle, Aktarım Katmanı Güvenliği (TLS) sertifikalarının süresini 2027 yılına kadar 398 günden yalnızca 45 güne kısaltmak için GitHub’a yorum yapılmasına yönelik bir oylama taslağı yayınladı. Apple’ın teklifi muhtemelen Sertifika Yetkilisi Tarayıcı Forumu’nda oylamaya sunulacak. (CA/B Forum) üyelerine önümüzdeki aylarda katılacağız.
Apple böyle bir hamleyi öneren büyük oyunculardan ilki değil. Geçtiğimiz yıl Google, 90 günlük sertifikaları zorunlu kılma niyetini açıklamıştı; bunun herhangi bir zamanda yürürlüğe girmesi bekleniyor; bu, Chrome’a bağlanan tüm sitelerin kimliklerini her 90 günde bir yenilemesi gerektiği anlamına geliyor.
Konuyu CA/B Forum üyeleri arasında oylamaya sunarak ve daha kısa yaşam döngüleri önererek Apple, CA/B forumunun tüm önemli web tarayıcıları üzerinde önemli bir etkiye sahip olması nedeniyle çıtayı daha da yükseltiyor. Ancak oylama başarısız olsa bile bu büyük oyuncular, geçmişte yaptıkları gibi, kendi tarayıcı kurallarını güncelleyerek topluluğun elini zorlayabilir.
Kusura bakmayın, bu değişiklikler olumlu haberler. Yaşam döngülerinin azaltılması, sertifikanın kötü niyetli kişiler tarafından ele geçirilmesi ve kötü amaçlarla kullanılması olasılığını azaltır. Ancak değişiklikler hazırlıksız olanlar için kısa vadeli acılara neden olabilir. İnternete bağlanan her işletme TLS sertifikalarını kullanır. Ve bu sertifikaların her biri, uygun şekilde yönetilmediği ve güvence altına alınmadığı takdirde potansiyel tek bir başarısızlık noktasıdır. Bu nedenle, işletmeler ve hükümetler için etkileri çok büyük.
Değişiklikler nelerdir ve neden önemlidir?
TLS sertifikaları, makineler arası iletişimi güvence altına almak ve doğrulamak için kullanılır. Bir sunucu, uygulama, küme veya iş yükü olsun, bir makineye kimlik sağlarlar. Tarayıcınızın, ziyaret ettiğiniz sitenin, örneğin bir kimlik avı sayfası değil, gerçekten kişisel bankanız olduğunu bilmesini sağlayan bu sistemdir.
İşletmeler, buluttan veri merkezine kadar altyapılarının her yerinde binlerce TLS makine kimliğini kullanıyor. Ortalama bir işletmenin şu anda 3.730 TLS sertifikası vardır, ancak bunun iki yıl içinde 5.000’in üzerine çıkması bekleniyor ve bu, katlanarak artan konteynerli iş yükleriyle ilişkili çok sayıda TLS makine kimliğini bile hesaba katmıyor. Bunlardan herhangi birinin süresinin dolmasına izin verilirse, bu durum kesintiye yol açabilir ve zorluk da burada yatmaktadır. Yaşam döngülerinin kısalması, kimliklerin çok daha sık yenilenmesi veya değiştirilmesi gerektiği anlamına gelir; bu da geliştirici ve güvenlik ekiplerinin yükünü artırırken aynı zamanda kesinti ve ortadaki adam saldırıları riskini de artırır.
İleride sıkıntılar olabilir…
Yakın zamanda Google’ın sertifika ömrünü 90 güne indirme teklifi hakkındaki görüşleri sorulduğunda, güvenlik liderlerinin %81’i bunun sertifika yönetimi konusunda karşılaştıkları mevcut zorlukları artıracağına inandıklarını söyledi. Neredeyse dörtte üçü (%73) bunun “kaosa” yol açabileceğini, %75’i ise kendilerini daha az güvenli hale getirebileceğini söyledi. Endişe verici bir şekilde, katılımcıların %77’si daha fazla kesintinin “kaçınılmaz” olduğunu düşünüyor. Apple’ın sertifika ömrünü yarıya indirmeyi planlamasıyla işler daha da kaotik hale gelebilir.
Bu yıl CrowdStrike gibi büyük kesintilerde gördüğümüz gibi, bu olaylar sadece rahatsız edici değil aynı zamanda maliyetli ve yıkıcıdır. 72 saatlik bir süre içinde CrowdStrike kesintisi, Fortune 500 şirketlerinin toplam 5,4 milyar dolarlık doğrudan kaybına neden oldu; Birleşik Krallık’ta 6.000’den fazla hastane randevusu iptal edildi ve dünya çapında yaklaşık 16.896 uçuş iptal edildi.
TLS sertifikaları gibi makine kimliklerinin sayısı arttıkça ve bunların değiştirilmesi için yenileme süresi kısaldıkça, şirketler sorunun önüne geçemediği sürece kesintilerin yeni normal haline gelmesi muhtemeldir. İtibar ve mali hasarı önlemek için otomasyonun Makine Kimliği Güvenliği (MIS) stratejilerinin merkezinde yer alması gerekir.
TLS sertifikaları gibi makine kimliklerinin sayısı arttıkça ve bunların değiştirilmesi için yenileme süresi kısaldıkça, şirketler sorunun önüne geçemediği sürece kesintilerin yeni normal haline gelmesi muhtemeldir. İtibar ve mali hasarı önlemek için otomasyonun Makine Kimliği Güvenliği (MIS) stratejilerinin merkezinde yer alması gerekir.
Önce otomatikleştirilmiş bir yaklaşım
İyi haber şu ki, makine kimlik yönetimi ve güvenliğinde sorunsuz bir geçiş sağlayabilecek birçok ilerleme kaydedilmiştir. Bu zorlukların hafifletilmesi, otomasyonun makine kimlik yönetimine yerleştirilmesini gerektirecektir. Kuruluşlar, bir kontrol düzlemi uygulayarak makine kimliklerinin tüm yaşam döngüsünü yönetebilir ve tüm dijital varlıkların güvenli bağlantılar aracılığıyla birbirleriyle etkili bir şekilde iletişim kurmasını sağlayabilir.
Makine kimlik yönetimine yönelik otomatik çözümler, birleşik ve entegre bir dizi yetenekle tasarlanmalıdır. Kimin sahibi olduğu, nerede kurulduğu, süresinin ne zaman dolduğu ve en önemlisi kimliklerin güvenlik politikalarıyla uyumlu olup olmadığı gibi önemli ayrıntılar da dahil olmak üzere sertifika envanterinin görünürlüğü sayesinde kuruluşlar potansiyel sorunları kolayca tanımlayabilir ve çözebilir.
Ayrıca, otomatik yenileme özelliği, her şey otomatik olarak yapıldığından BT ekiplerinin sertifikaları güncelleme konusunda endişelenmelerine gerek kalmayacağı anlamına gelir. Gerçek zamanlı izleme ve raporlama sayesinde, tüm sertifikalar 45 günlük kullanım sürelerine uygun hale getirilerek, süresi dolmuş sertifikaların neden olduğu kesinti ve kesintiler önlenir.
Risklerin önünde kalmak
Apple’ın sertifika ömrünün kısalması yönündeki son teklifiyle birlikte dijital ortam, birçok işletmenin hazırlandığından daha hızlı değişiyor. Yanıt vermeyen kuruluşlar, kesintilere ve güvenlik olaylarına karşı giderek daha savunmasız hale geldikçe daha da büyük risklerle karşı karşıya kalacaklar.
İşletmelerin artık harekete geçmesi gerekiyor. Kuruluşlar, otomasyonu uygulayarak ve güçlü bir makine kimliği güvenliği stratejisi geliştirerek çağın ilerisinde kalabilir ve normalde kaçınılmaz olan kesintilerden ve aksaklıklardan kendilerini koruyabilir. Bu muhtemelen sertifika ömrünün kısaltıldığı son sefer olmayacak, bu nedenle şimdiden hazırlanmak hayati önem taşıyor. Makine kimlik yönetiminde otomasyona öncelik veren işletmeler bu yeni ortamda başarılı olacak ve operasyonel istikrar ve gelecekte büyüme sağlayacak.