Kâr amacı gütmeyen sertifika yetkilisi Let’s Encrypt, genellikle kısa ömürlü sertifikalar olarak adlandırılan altı günlük geçerlilik sertifikalarını kullanıma sundu.
2025 yılı boyunca aşamalı olarak kullanıma sunulması planlanan bu yeni teklif, dijital sertifikaların web üzerinde yönetilme ve kullanılma biçiminde büyük bir değişimi temsil ediyor.
Kısa Ömürlü Sertifikalar: Güvenlik Yükseltmesi
Bu değişikliğin ardındaki temel motivasyon, sertifika iptalinde uzun süredir devam eden zorlukların üstesinden gelmektir.
Sertifika İptal Listeleri (CRL’ler) ve Çevrimiçi Sertifika Durum Protokolü (OCSP) gibi geleneksel yöntemler sıklıkla verimsizlik ve güvenilmezlik nedeniyle eleştirilir.
Özel anahtarın güvenliği ihlal edildiğinde bu mekanizmalar, kullanıcıları sertifikaya artık güvenilmemesi gerektiği konusunda bilgilendirir. Ancak, gecikmeler ve operasyonel eksiklikler nedeniyle güvenliği ihlal edilen sertifikalar geçerlilik süresi dolana kadar geçerli kalabilir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Kısa ömürlü sertifikalar, güvenlik açığı penceresini önemli ölçüde azaltarak bu riski azaltır. Altı günlük geçerlilik süresiyle, herhangi bir tehlikeye atılan veya yanlış verilen sertifikanın süresi doğal olarak bir haftadan kısa sürede dolacak ve bu da CRL’ler veya OCSP gibi iptal mekanizmalarına olan ihtiyacı ortadan kaldıracaktır.
Bu yaklaşım, sık yenilemeler için otomasyona güvenerek güvenliği artırır ve sertifika yönetimini basitleştirir.
Let’s Encrypt’in ana kuruluşu olan İnternet Güvenliği Araştırma Grubu’nun (ISRG) Genel Müdürü Josh Aas, bu geçişte otomasyonun önemini vurguladı. “Kısa ömürlü sertifikalar pratikte otomasyon gerektirir” dedi. “Sertifika düzenlemeyi otomatikleştirmenin web genelinde güvenliği artırmak için çok önemli olduğuna inanıyoruz.”
IP Adresleri Desteği
Daha kısa ömürlere ek olarak Let’s Encrypt, altı günlük sertifikalarında IP adresleri için de destek sunacak. Bu özellik, alan adlarına olan ihtiyacı ortadan kaldırarak, yalnızca IP adresleri aracılığıyla çalışan hizmetlere güvenli TLS bağlantılarına olanak tanır.
IP adreslerinin doğrulanması belirli sorgulama türleriyle sınırlı olacaktır:http-01 Ve tls-alpn-01—DNS tabanlı doğrulama olarak (dns-01) geçerli değildir.
Bu gelişme, doğrudan IP bağlantılarına dayanan IoT cihazları ve dahili ağ hizmetleri gibi kullanım durumlarının güvenliğini sağlamak için yeni olanaklar sunuyor.
Ancak IP adreslerine ilişkin Sertifika Yetkilisi Yetkilendirme (CAA) kayıtlarını kontrol edecek bir mekanizma bulunmadığından, bu durum aynı zamanda benzersiz zorlukları da beraberinde getirir.
Let’s Encrypt, ilk kısa ömürlü sertifikalarını Şubat 2025’e kadar şirket içinde yayınlamayı planlıyor. Nisan ayına kadar, ilk benimseyenler aşamalı bir dağıtım yoluyla bu sertifikalara erişebilecek. Genel kullanıma sunulmasının 2025 yılı sonuna kadar gerçekleşmesi bekleniyor.
Başlangıçta, IP adresi desteği dahil edilmeyebilir ancak kısa ömürlü sertifikaların yaygın olarak kullanıma sunulmasıyla birlikte tamamen çalışır hale gelmesi planlanıyor.
Bu sertifikaları kullanmak isteyen abonelerin, yeni sertifika profili mekanizmasını destekleyebilen bir ACME istemcisine ihtiyacı olacaktır. Let’s Encrypt, kullanıma sunulduktan sonra kullanıcıların bu özelliği nasıl seçebilecekleri konusunda ayrıntılı rehberlik sözü verdi.
Altı Günlük Sertifika Yarışmaları
Altı günlük sertifikaların sunulması, Web PKI ekosisteminde önemli bir gelişmeye işaret ediyor. Kısa ömürlü sertifikalar, son on yılda birkaç yıldan yalnızca 90 güne kademeli olarak düşen daha kısa sertifika ömürlerine yönelik daha geniş endüstri eğilimleriyle uyumludur.
Bu değişim, daha kısa kullanım ömrünün, önemli güvenlik ihlalleri sırasında riske maruz kalmayı sınırlayarak güvenliği artırdığına dair giderek artan bir farkındalığı yansıtıyor.
Ancak bu hamle zorluklardan da uzak değil. Yenileme sıklığının artması, kesintisiz hizmetin sağlanması için güçlü otomasyon sistemlerini gerektirmektedir. Manuel süreçlere dayanan kuruluşlar uyum sağlamayı zor bulabilir.
Ek olarak Let’s Encrypt, sertifika düzenleme hacminde potansiyel olarak mevcut seviyelerin 20 katına kadar dramatik bir artış öngörüyor ve bu durum dikkatli bir şekilde yönetilmediği takdirde altyapıyı zorlayabilir.
Let’s Encrypt’in altı günlük sertifikalar sunma kararı, ücretsiz ve otomatik hizmetler aracılığıyla erişilebilirliği korurken web güvenliğini geliştirme konusundaki kararlılığını gösteriyor.
Benimseme arttıkça bu yenilik, dijital sertifikaların endüstriler arasında nasıl verildiği ve yönetildiğine ilişkin yeni bir standart belirleyebilir.
Let’s Encrypt, abonelere, bu geçişe hazırlanmak için ACME istemcilerinin güvenilir otomatik yenilemeler için yapılandırıldığından emin olmalarını tavsiye ediyor. Kuruluşlar bu değişiklikleri benimseyerek yalnızca güvenlik durumlarını geliştirmekle kalmaz, aynı zamanda tüm kullanıcılar için daha güvenli bir internete de katkıda bulunabilirler.
Let’s Encrypt, öncü yaklaşımıyla şifrelemeyi web ekosisteminde her yerde yaygın ve güvenli hale getirmeye devam ediyor.
Yakın zamanda Let’s Encrypt, Çevrimiçi Sertifika Durum Protokolü (OCSP) desteğini Sertifika İptal Listeleri (CRL’ler) lehine sonlandıracağına ilişkin zaman çizelgesini resmi olarak duyurdu.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri