.png)
Dijital sertifikalar kaliteli şaraplar gibi değildir; yıllandıkça daha iyi hale gelmezler. Daha çok ilaca benziyorlar, oturdukça güçlerini kaybediyorlar.
Dolayısıyla Google, Aktarım Katmanı Güvenliği (TLS) sertifikaları için 90 günlük bir kullanım ömrü benimseyeceğini söylediğinde bu mantıklı geldi. Yaygın olarak Güvenli Yuva Katmanı (SSL) sertifikaları olarak da bilinen sertifikalar, geleneksel olarak bir yıldan uzun süre geçerlidir. Bu bile on yıl önce var olan 10 yıla kadar geçerliliği olan bir gelişmedir.
Bu sertifikalar, Web tarayıcılarının adres çubuğunda küçük bir asma kilit şeklindeki simgeden ve web siteleri için bir “https” URL’sinden daha fazlasını sağlar. Sertifika, sitenin geçerli bir alan adı olduğunu, sahteciliğe karşı güvenli olduğunu ve güvenli gezinme ve işlemler sağlamak için şifrelendiğini doğrular. Kimlik avının ve çevrimiçi dolandırıcılığın yaygınlaştığı bu günlerde, bunlar kullanıcılar için bir sitenin verilerini koruduğuna dair güçlü bir işarettir.
Google’ın bu hareketinin ardındaki mantık açık: Kötü adamların sık sık oyunlarını geliştirmeleri nedeniyle güvenlik, bu korumaları yılda bir kez yapılacak bir yükseltmeye bırakamaz. Günümüzde kullanılan en popüler tarayıcıların operatörleri (Apple, Microsoft, Mozilla ve evet, Google), çalışma grupları CA/Tarayıcı Forumu’nun da teşvikiyle sertifika ömrünü kısaltmak için çalışıyorlar. Apple, 2020’de Safari tarayıcı sertifikalarını bir yıla indirdi ve diğerlerine bu süreyi kısaltmaları için baskı yaptı. Google’ın eyleminin benzer eylemleri teşvik etmesi muhtemeldir.
Süresi dolmuş TLS sertifikaları bir siber suç fırsatından daha fazlasıdır; aynı zamanda hizmet kesintilerine de neden olur, bağlantıları özel olmaktan çıkarır ve iletişimleri güvenli hale getirir ve kullanıcıların işlerini tamamlamasını engeller. Bu sorun Shopify, Cisco, Starlink gibi büyük isimler de dahil olmak üzere birçok büyük kuruluşu etkilemeye devam ediyor, ve Microsoft.
90 Günlük Sertifika Yarışması
Sertifika yaşam döngüsü yönetimi (CLM), yöneticiler için, özellikle de yönetilmesi gereken yüzlerce veya binlerce sertifikaya sahip büyük kuruluşlar için süregelen bir zorluktur. Bir anket ortalamanın 50.000’den fazla olduğunu ortaya çıkardı, ve sayı her yıl %43’ten fazla arttı. Bulut tabanlı varlıklara ve otomasyona büyük ölçüde güvenen günümüzün kuruluşları, sorunsuz bir şekilde çalışmaya devam etmek istiyorlarsa sertifika yönetiminden kaçınamazlar. Bu zorlukla yüzleşmek için kripto çevikliğine ulaşmaya yönelik bir dizi en iyi uygulama zorunludur:
- Görünürlük kazanın: Sertifikaları net bir şekilde görebilmek, yenilemeleri ve kaldırmaları yönetmenin anahtarıdır. Düzenli tarama, mevcut sertifikaların belirlenmesine ve hesaba katılması gereken yeni sertifikaların keşfedilmesine yardımcı olur; bir anket, bulunan sertifikaların %15’inin kendinden imzalı olduğunu (herhangi bir güvenilir otorite tarafından değil, bizzat geliştiriciler tarafından yönetildiğini) ve bunların beşte birinin süresinin dolduğunu belirtti. Bu keşif süreci, sertifikaların konumu ve son kullanma tarihi, bunları doğrulayan sertifika yetkilisi ve diğer ilgili meta veriler gibi tüm sertifika ayrıntılarını izlemek için merkezi bir envanter oluşturmalıdır.
- Son kullanım tarihlerini takip edin: Otomasyon, ilgili personele zamanında uyarı göndererek sertifika yenilemelerinin izlenmesine ve sürdürülmesine yardımcı olabilir. Bir sertifika envanteri oluşturulduktan sonra, bunların geçerlilik süresi dolmadan önce yenilenmesi veya otomatik bir yenilemenin ayarlanması, bunların gözden kaçmasını önleyebilir. Otomasyon ayrıca sertifikaların doğru şekilde sağlandığından, yapılandırıldığından ve bir uç noktaya doğru şekilde bağlandığından emin olabilir.
- Şifreleme standartlarını uygulayın: Şifreleme, sertifikaların gizli sosudur, dolayısıyla doğru şifreleme düzeyinin belirlenmesi, altyapının güvenliğini sağlar. Anahtar boyutu ve gücü veya imzalama algoritmaları gibi göstergeler için sertifikaların analiz edilmesi, güvenli olmayan veya eski kripto standartlarını kullananları tespit edebilir. Bu standartları minimum düzeyde kesintiyle geniş ölçekte hızlı bir şekilde yükseltebilecek araçların benimsenmesi, herhangi bir kesinti, ihlal veya uyumluluk sorununun önlenmesine yardımcı olacaktır.
- Yönetişimi kurun: Otomasyon, sertifikaların yönetilmesine yardımcı olabilir ancak verilerin korunmasını, kullanıcı kimliklerinin sağlanmasını ve uçtan uca iletişimin güvenliğini denetleyen ortak anahtar altyapısı (PKI) yönetiminin uygulanması için temel bir politika gerektirir. Kuruluştaki tüm birimlerde uygulanan istikrarlı bir politika, sertifikaların verilmesini ve yönetilmesini standartlaştıracak, rol tabanlı erişim kontrolü (RBAC) ile her iş kullanım durumu için izinlerin doğru boyutlandırılmasını düzenleyecek ve tespit edilecek denetim izleri ve periyodik raporlar oluşturmak için prosedürler oluşturarak denetimi basitleştirecektir. anormallikler, zayıflıklar ve uyumluluk sorunları.
- Tuşları kilitleme: Özel anahtarlar, hassas bilgileri koruyan ana kilitlerdir ancak bunları korumasız metin dosyalarına kaydetme uygulaması, onları istismara açık hale getirir. Bunları şifrelenmiş bir yazılım kasasına veya sertifikalı donanım güvenlik modülüne (HSM) kaydetmek, özellikle bunların düzenli olarak değiştirilmesi için otomatik anahtar rotasyonuna olanak tanıyorsa daha iyi koruma sağlar. Bu, insan hatası olasılığını (çok fazla uzlaşmaya neden olan yeniden kullanılan kimlik bilgileri) en aza indirir. Ayrıca, cihaz tabanlı kimlik bilgilerini korumak için parola kasalarının kullanılması ek bir güvenlik katmanı sunar.
Kullanılabilirlik ve sürekliliği sağlarken kullanıcıları, uygulamaları ve cihazları korumanın zorluğunun yakın zamanda ortadan kalkması pek mümkün görünmüyor. TLS sertifikalarının mevcut 13 aylık zaman dilimi yerine her üç ayda bir yenilenmesi gerekeceğinden, Google’ın teklifi sorunu daha da karmaşık hale getiriyor. CLM’nin otomatikleştirilmesi, günümüzde sertifika yönetimi konusunda zaten zorluk yaşayan PKI ve bilgi güvenliği yöneticileri için ileriye giden tek yoldur.
Daha fazla sertifika yetkilisi ve tarayıcı satıcısı Google’ın yeni TLS geçerliliği önerisini benimsedikçe (Apple’ın daha önce yaptığı gibi) CLM, yöneticinin endişeleri listesindeki yerini koruyacak. CLM süreçlerini otomatikleştirmek için verimli, ölçeklenebilir ve çevik bir sürecin uygulanması, yalnızca sertifika yönetimiyle ilişkili manuel emeği azaltmakla kalmayıp aynı zamanda maliyetli iş kesintisi riskini de azaltan ileriye yönelik bir yol sunar.