Dijital sertifika sağlayıcısı DigiCert, web sitesi yöneticilerinin ciddi şekilde başını ağrıtabilecek bir hamleyle, şirketin alan adı doğrulama sürecindeki teknik bir hata nedeniyle binlerce SSL sertifikasını iptal ediyor.
DigiCert, verilen sertifikaların yaklaşık %0,4’ünü etkileyen Alan Denetimi Doğrulama (DCV) sürecinde kritik bir sorun keşfettikten sonra bu kararı aldı. DigiCert tarafından yapılan bir açıklamaya göre, sorun doğrulama sırasında kullanılan rastgele bir değere dahil edilmesi gereken eksik bir alt çizgi karakterinden kaynaklanıyor.
Alan Adı Doğrulaması Nasıl Çalışır?
DigiCert, bir SSL sertifikası vermeden önce, başvuranın sertifika talep ettiği alan adının gerçekten sahibi olduğunu doğrulamalıdır. Bunu Alan Denetimi Doğrulaması (DCV) adı verilen bir işlemle gerçekleştirirler. DCV için kullanılan bir yöntem, DigiCert tarafından sağlanan rastgele bir değer içeren alan adının DNS ayarlarına belirli bir kayıt eklemeyi içerir. Bu rastgele değerin varlığını doğrulayarak, DigiCert başvuranın alan adı üzerindeki denetimini doğrulayabilir.
Bu kaydı eklemenin birkaç yolu vardır, ancak bir yaklaşım rastgele değerin bir alt çizgi karakteriyle öne alınmasını gerektirir. Bu görünüşte önemsiz ayrıntı, rastgele değerin yanlışlıkla gerçek bir alt alan adıyla çakışmasını önler. Böyle bir çakışma olasılığı düşük olsa da, alt çizginin olmaması CA/Tarayıcı Forumu (CABF) tarafından belirlenen yönergeler uyarınca hala bir güvenlik riski olarak kabul edilir.
DigiCert yakın zamanda sistemlerinin tüm CNAME tabanlı DCV senaryolarında rastgele değere alt çizgi önekini tutarlı bir şekilde eklemediğini keşfetti. Bu, bazı sertifikaların eksik bir doğrulama sürecine dayanarak verildiği ve CABF gerekliliklerini ihlal ettiği anlamına geliyor. Sonuç olarak, DigiCert güveni ve uyumluluğu korumak için etkilenen tüm sertifikaları 24 saat içinde iptal etmek zorunda kalıyor.
DigiCert’in hızlı tepkisi, Google’ın Entrust tarafından verilen sertifikalara güvenilmemesi kararında belirttiği uyumluluk eksikliklerinin aksine bir durum ortaya koyuyor.
DigiCert Hatasına Ne Sebep Oldu?
DigiCert’e göre sorun, Ağustos 2019’da uyguladıkları bir sistem yükseltmesi sırasında ortaya çıktı. Yeni sistem doğrulama sürecini kolaylaştırdı ancak karışıklıkta, alt çizgi önekini eklemekten sorumlu kod eski sistemde geride kaldı. Bu, bazı doğrulama yollarının alt çizgiyi içerdiği, bazılarının ise içermediği bir durumla sonuçlandı.
Müşteriler için Sertifika Düzeltmeleri
DigiCert, aktif alan doğrulamalarının yaklaşık %0,4’ünün bu hatadan etkilendiğini tahmin ediyor. Etkilenen müşteriler bilgilendirildi ve iptal edilen sertifikalarını değiştirmek için 24 saatlik sıkı bir pencereleri var. DigiCert müşterisiyseniz yapmanız gerekenler şunlardır:
- Bildiriminizi Kontrol Edin: Sertifikalarınızdan herhangi biri etkilenmişse DigiCert size bir e-posta veya hesap panonuz üzerinden bir bildirim göndermiş olmalıdır.
- İptal Edilen Sertifikaları Belirleyin: DigiCert hesabınıza giriş yapın ve etkilenen sertifikaları bulun.
- Sertifikalarınızı Yeniden Yayınlayın: Yeni bir Sertifika İmzalama Talebi (CSR) oluşturmanız ve sertifikalarınızı yeniden yayınlamanız gerekecektir. DigiCert, CertCentral platformunda bunu nasıl yapacağınıza dair talimatlar sağlar.
- Yeni Sertifikaları Yükleyin: Yeniden yayınlandıktan sonra, güvenli iletişimi geri yüklemek için web sunucunuza yeni SSL sertifikalarını yükleyin.
Geleceğe Bakış: Gelecekteki Sertifika Olaylarını Önleme
DigiCert bu olayın neden olduğu rahatsızlığı kabul etti ve gelecekte benzer sorunları önlemek için adımlar atıyor. Bu önlemler şunları içerir:
- Rastgele Değer Üreticilerinin Birleştirilmesi ve İncelenmesi: Tüm DCV yöntemlerinde tutarlı alt çizgi öneki eklemesini sağlamak için sistemlerini düzene sokuyorlar.
- Basitleştirilmiş Kullanıcı Deneyimi: Müşterilerin, seçtikleri DCV yöntemine göre rastgele değerin belirli biçimi hakkında endişelenmesine gerek kalmayacak.
- Gelişmiş Uyumluluk: Uyumluluk ekipleri, tüm değişikliklerin ilgili düzenlemelere uymasını sağlamak için DigiCert’in geliştirme ekiplerine dahil edilecektir.
- Artırılmış Test Kapsamı: DigiCert, otomatik uyumluluk kontrollerini de içerecek şekilde test prosedürlerini temel işlevselliğin ötesine genişletmeyi planlıyor.
- DCV’nin Açık Kaynaklı Hale Getirilmesi: Daha geniş bir topluluk incelemesi ve potansiyel iyileştirmeler için DCV süreçlerini açık kaynaklı hale getirmeyi taahhüt ediyorlar.
Güvenliğe Odaklanın
Bu eksik alt çizgiden doğrudan kaynaklanan bir güvenlik ihlali olasılığı minimum olsa da, DigiCert’in hızlı hareketi, sıkı alan doğrulama prosedürlerinin sürdürülmesinin önemini vurgular. Bu olay, web sitesi sahiplerine sertifika yetkililerinden gelen herhangi bir güvenlik uyarısı konusunda güncel kalmaları ve sertifika iptal bildirimleri alındığında derhal harekete geçmeleri için bir hatırlatma görevi görür. SSL sertifikalarınızı güncel tutarak ve en iyi uygulamaları izleyerek, web sitesi ziyaretçileriniz için güvenli ve güvenilir bir çevrimiçi deneyim sağlayabilirsiniz.