Güvenlik Operasyonları
‘Kritik Altyapı’ Sorunlarını Gerekçe Gösteren Sertifika Yetkilisi 3 Günlük Gecikme Teklif Ediyor
Mathew J. Schwartz (euroinfosec) •
31 Temmuz 2024
Dünyanın en büyük sertifika otoritesi DigiCert, doğrulama kurallarına uymayan dijital sertifikaların toplu olarak iptal edilmesini geçici olarak durduracağını duyurdu.
Ayrıca bakınız: Bulut Güvenliği Gündemi: En İyi Kuruluşlar Etkili Güvenlik Açığı Yönetimini Nasıl Uyguluyor?
Şirket Pazartesi günü, uygun Alan Adı Kontrol Doğrulaması olmayan sertifikaları 24 saat içinde iptal etme planlarını duyurdu. “Bu durum sizin için bir iş kesintisine neden olursa özür dileriz ve alan adınızı doğrulamanıza ve hemen yedek sertifikalar vermenize yardımcı olmak için hazırız,” dedi.
Ani iptaller konusunda müşterilerin tepkisinin ardından Utah şirketi Salı günü biraz geri adım attı. DigiCert sertifikaları web sitesine göre 28 milyar web bağlantısını güvence altına alıyor ve 40 milyar DNS sorgusunu destekliyor.
“Kritik altyapı işleten bazı müşteriler, kritik hizmet kesintileri olmadan tüm sertifikalarının zamanında yeniden yayınlanması ve dağıtılması konumunda değil” denildi.
Şirket, bu hizmetleri aksatmaktan kaçınmak için, müşteriler için zaman kazanmak adına “tarayıcı temsilcileriyle” çalıştığını ve iptal gecikmesi talebinde bulunmak için Çarşamba günü 19:30 UTC’ye kadar bir son tarih teklif ettiğini söyledi. DigiCert, böyle bir talepte bulunmayan herhangi bir müşteri için “sertifikalarınızın değiştirildiğini varsayıp bunları iptal edeceğimizi” ve muhtemelen derhal yürürlüğe gireceğini söyledi.
Erteleme talebinde bulunan herhangi bir kuruluş, böyle bir gecikmeyi gerektiren “istisnai durumların” ne olduğunu ve yeniden verilen sertifikaların ne zaman hazır olacağını belirtmelidir.
DigiCert, gecikme talebinin yalnızca Cumartesi günü 19:30 UTC’ye kadar uzatılacağını ve bu noktada hala geçerli olan tüm sertifikaları iptal etmeyi planladığını söyledi
Tüm DigiCert müşterileri sertifikalarını derhal yeniden yayınlayarak veya bunu ne zaman yapmayı planladıklarını söyleyerek yanıt vermedi. Salı günü, fayda finansmanı ve ödeme çözümleri SaaS sağlayıcısı Alegeus Technologies, Utah’taki ABD Bölge Mahkemesi’nde DigiCert’in sertifikalarını geçersiz kılmasını yasaklayan geçici bir yasaklama emri talep eden bir şikayette bulundu.
ABD Bölge Yargıcı Yargıç Howard C. Nielson şirketin talebini kabul etti. “DigiCert’in Alegeus Web Siteleri için güvenlik sertifikalarını yedi günlük bir süre boyunca veya mahkemenin talep üzerine bir duruşma planlayabilmesi için gereken süreden hangisi daha erkense o süre boyunca iptal etmesi yasaktır” dedi.
Alan Adı Doğrulama Hataları
Altta yatan sorun, DigiCert’in bazı müşterilerin sahip olduğu veya kontrol ettiği alan adlarının mülkiyetini doğru bir şekilde doğrulayamamasından kaynaklanıyor.
Müşteriler, sahipliği birden fazla şekilde kanıtlayabilir. Bir teknik, alan adlarının DNS CNAME kayıtlarına rastgele, DigiCert tarafından sağlanan bir değer eklemelerini içerir. DNS CNAME – kanonik ad için – bir alan adını bir veya daha fazla takma adla eşler.
DigiCert, DNS araması yapıp DNS CNAME kaydındaki rastgele değeri doğruladıktan sonra, müşterinin alan adının sahibi olduğunu veya onu işlettiğini doğrulayabilir.
Bu tür doğrulama, şu kritik gereksinimi içerir: Rastgele değerin önünde bir alt çizgi karakteri bulunmalıdır. “Alt çizgi öneki, rastgele değerin aynı rastgele değeri kullanan gerçek bir alan adıyla çakışmamasını sağlar,” dedi DigiCert. “Bunun gerçekleşme olasılığı pratik olarak ihmal edilebilir düzeyde olsa da, alt çizgi önekini içermiyorsa doğrulama yine de uyumsuz olarak kabul edilir.”
Kök neden analizinde DigiCert, yakın zamanda işlerin ters gittiğini öğrendiğini söyledi. Şirket, Ağustos 2019 civarında, doğru şekilde çalışan eski bir sistemden, yalnızca bazı durumlarda alt çizgi karakteri ekleyen yeni bir hizmete geçtiğini söyledi. Bu, şirketin mühendislik ekibinin “birden fazla rastgele değer oluşturma mikro hizmetini tek bir hizmete dönüştüren bir kullanıcı deneyimi geliştirme projesini tamamlaması” üzerine, şirketin istemeden sorunu düzelttiği 11 Haziran’a kadar devam etti.
O tarihten bu yana verilen tüm sertifikalar CABF kurallarına uygundur.
Şirket, birkaç hafta önce sorun bildirim kanalına “doğrulamada kullanılan rastgele değerler hakkında” bir e-posta aldığını söyledi. Birden fazla inceleme yaptıktan sonra “DigiCert, rastgele değerler için alt çizgi önekiyle ilgili bir sorun keşfetti” dedi ve “ardından bu olay yönetim sürecini başlattı.”
Şirket, hatanın “yürürlükteki geçerli alan adı doğrulamalarının yaklaşık %0,4’ünü” etkilediğini ve CA/Tarayıcı Forum kurallarının hatalı olarak verilen sertifikaların (alan adı doğrulama sorunu olanlar gibi) “istisnasız 24 saat içinde iptal edilmesini” gerektirdiğini söyledi. Şirket, e-postayla gönderilen bir yanıtta, yaklaşık 6.800 müşterisinin 83.267 sertifikayı yeniden vermesi gerektiğini belirtti.
CA/Tarayıcı Forum kurallarına uyulmaması, bir sertifika yetkilisinin ve onun yayınladığı tüm sertifikaların güvenilmez hale gelmesi gibi ciddi sonuçlara yol açabilir.
Birçok BT yöneticisi, DigiCert’in hatasıyla başa çıkmak zorunda kalmalarının kısa sürmesini sosyal medyada kınadı.
Pazartesi günü Reddit’e yazan bir sistem yöneticisi, “DigiCert’ten 24 saat içinde tüm sertifikalarımın geçersiz kılınacağını belirten bir e-posta aldım.” ifadelerini kullanarak, kuruluşlarının 100 sertifikasının tamamını bir aydan kısa bir süre önce yenilediklerini ve bunu tekrar yapmak için planladıkları izin günlerini iptal etmek zorunda kaldıklarını söyledi.
“Başkalarının hatalarını düzeltmekten bıktım,” dedi admin (bkz: CrowdStrike, Microsoft Kesintisi Büyük Dayanıklılık Sorunlarını Ortaya Çıkardı).