Instagram 1 haftalık geçerlilik TLS sertifikalarını kullanmaya başladı ve bunları günlük olarak değiştirdi


Instagram 1 haftalık geçerlilik TLS sertifikalarını kullanmaya başladı

Instagram, yakın tarihli bir teknik analize göre, sadece bir haftalık geçerlilik sürelerini koruyan TLS sertifikalarının günlük olarak rotasyonunu uygulayarak web güvenliğine benzeri görülmemiş bir yaklaşım benimsedi.

Bu uygulama, sertifikaların genellikle 90 gün veya daha uzun süre geçerli kaldığı endüstri standartlarından önemli bir ayrılmayı temsil eder ve Meta’nın fotoğraf paylaşım platformu tarafından gelişmiş güvenlik protokollerine doğru stratejik bir kayma olduğunu düşündürmektedir.

Key Takeaways
1. Instagram changes TLS certificates daily instead of standard 90+ day periods, using certificates with only ~8 days validity.
2. Certificate swaps happen precisely between 16:00-17:00 UTC daily via automated systems.
3. instagram.com and www.instagram.com get individual certificates despite wildcard capability.
4. Ultra-short lifecycles may not significantly improve security if private keys remain centrally stored.

Günlük Sertifika Döndürme Stratejisi

Birkaç hafta boyunca otomatik sertifika izleme yoluyla yapılan soruşturma, Instagram’ın sertifikaları yaklaşık 8 gün süren süresi kaldığı ve yaklaşık 7 günlük geçerlilik kaldığında her gün değiştirildiğini ortaya koydu.

Google Haberleri

Bu, dikkate değer bir hassasiyetle çalışan etkili bir “günde 1 sertifika” rotasyon döngüsü oluşturur.

Sertifika dağıtımı, özellikle bu zaman diliminde 25-30 dakikalık işaret civarında, 16:00 ve 17:00 UTC arasında tutarlı bir şekilde gerçekleşir.

Herşey raporuna göre, hem Instagram.com hem de www.instagram.com, teorik olarak alt alanları güvence altına alabilecek ana joker sertifikaları (*.instagram.com) kullanan ana alana rağmen ayrı sertifikalar alır.

Digicert SHA2 Yüksek Güvence Sunucusu CA Sertifikaları verir ve SHA256 imza algoritmalarını kullanır.

İzleme döneminde çıkarılan sertifika verileri, seri numaralarında ve SHA-1 karmalarında tutarlı kalıplar ortaya çıkardı ve her sertifika standart X.509 formatını koruyor.

Sertifikalar, *.cdninstagram.com, *.igsonar.com, cdninstagram.com, iGsonar.com ve birincil Instagram.com alan adı dahil olmak üzere çeşitli Instagram alanlarını kapsayan Kapsamlı Konu Alternatif Adları (SANS) içerir.

Güvenlik etkileri

Bu ultra kısa sertifika yaşam döngüsü yaklaşımı, TLS güvenlik mimarisinde potansiyel bir paradigma değişimini temsil etmektedir.

Geleneksel sertifika yönetimi, güvenliği operasyonel verimlilikle dengelemek için daha uzun geçerlilik sürelerine dayanmaktadır, ancak Instagram’ın stratejisi, özel anahtarların tehlikeye girmesi durumunda güvenlik açığı penceresinin en aza indirilmesine öncelik veriyor gibi görünmektedir.

Günlük rotasyon stratejisi teorik olarak, çalınan sertifikalar, kalan kısa geçerlilikleri nedeniyle sınırlı faydaya sahip olacağı için potansiyel anahtar uzlaşmanın etkisini azaltır.

Bununla birlikte, güvenlik uzmanları, özel anahtarlar merkezi konumlarda depolanıyorsa bu yaklaşımın güvenliği önemli ölçüde artıramayabileceğini, çünkü mevcut anahtarlara erişim kazanan bir saldırgan muhtemelen tüm kilit yönetim altyapısına erişebileceğinden dikkat çekiyor.

Uygulama, Instagram’ın hizmet kesintisi olmadan kesintisiz sertifika dağıtım yapabilen sofistike otomasyon sistemleri geliştirdiğini öne sürüyor.

Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi





Source link