Instagram, TLS sertifikalarını günlük olarak döndürmeye başladı ve her sertifika bir haftadan biraz fazla geçerli.
Mevcut endüstri standartlarının çok ötesine geçen bu yaklaşım, rutin ağ hata ayıklama sırasında keşfedildi ve o zamandan beri sistematik izleme ve analiz yoluyla doğrulandı.
Kurulum ve keşif
Anomali ilk olarak Instagram için bir sertifikanın sadece 53 günlük bir geçerlilik süresi olduğu tespit edildi-tipik 90, 180 veya 365 günlük sertifikalara kıyasla olağanüstü.
Daha fazla araştırma, kontrol edildiğinde, sertifikanın her zaman son kullanma tarihinden önce yaklaşık sekiz gün kaldığını ortaya koydu.
Bu, Instagram’ın sadece kısa ömürlü sertifikalar kullanmakla kalmayıp aynı zamanda çoğu büyük web sitesinden çok daha sık döndürdüğü hipotezine yol açtı.
Bunu test etmek için, Instagram’ın sertifikalarını her beş dakikada bir indirmek ve analiz etmek için özel bir komut dosyası oluşturuldu.
Her sertifika, zaman içinde değişikliklerin ve geçerlilik sürelerinin hassas bir şekilde izlenmesine izin vererek hashed ve saklandı. Bu yöntem Instagram’ın sertifika yönetimi uygulamalarına açık bir pencere sağladı.
Bir ay boyunca, izleme sistemi, makine yeniden başlatmaları nedeniyle yalnızca küçük kesintilerle alan başına 20 sertifika üzerinde veri topladı. Bulgular çarpıcıydı:
- Günlük rotasyon: Instagram TLS sertifikalarını her gün ve hatta günde iki kez değiştirir.
- Kısa geçerlilik: Her yeni sertifika sekiz günden biraz fazla bir süredir geçerlidir ve son kullanma süresinin yedi günden biraz daha fazla kaldığında değiştirilir.
- Ayrı Sertifikalar: Hem Instagram.com hem de www.instagram.com, ana alanın joker karakter sertifikası teknik olarak alt alanları kapsayabilirse de ayrı sertifikalar kullanır.
- Tutarlı zamanlama: Sertifika takasları genellikle ağ koşulları nedeniyle muhtemelen küçük bir değişkenlik penceresi ile 16:00 ve 17:00 UTC arasında meydana gelir.
Sertifika verilerinin grafikleri, sertifika geçerliliğinin hem başlangıç hem de bitiş sürelerinde açık ve günlük bir artış gösterdi.
Süreç oldukça otomatik ve sağlamdır, sadece dış faktörlere atfedilebilen küçük anomalilerdir.
Instagram’ın agresif sertifika rotasyon stratejisi, sertifikaların tipik olarak 90 gün veya daha fazla geçerli olduğu ve çok daha az sık döndüğü endüstri normundan önemli bir ayrılıştır.
Bu hareket, tehlikeye atılan anahtarlar için risk penceresini en aza indirmeyi amaçlayabilir, ancak arka uç anahtar yönetimi ve operasyonel karmaşıklık hakkında sorular da gündeme getirir.
Bu tür hızlı rotasyonun güvenlik avantajları hala tartışmaya hazır olsa da, Instagram’ın yaklaşımı, sektör genelinde sertifika ömrüleri küçülmeye devam ettikçe web güvenliği uygulamalarının başlayabileceği yönün net bir sinyalidir.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt