CRL’ler geri döndü bebeğim!
Sertifika yetkilisi Let’s Encrypt, Sertifika İptal Listeleri (CRL’ler) aracılığıyla dijital sertifikaların iptalini destekleyecek bir platform kurma planlarını duyurdu.
Güvenliği ihlal edilmiş dijital kimlikleri reddetmeye yönelik CRL yaklaşımı, uzun yıllar önce oluşturuldu, ancak performans üzerindeki külfetli etkisi nedeniyle, son on yılda veya daha fazla bir süre içinde, Çevrimiçi Sertifika Durum Protokolü (OCSP) lehine büyük ölçüde aşamalı olarak kaldırıldı.
CRL’ler, bir sertifika yetkilisi (CA) tarafından sona erme tarihlerinden önce iptal edilen kapsamlı dijital sertifika listeleridir, oysa OSCP, tarayıcıların belirli bir sertifikanın durumu üzerinden CA’nın OCSP hizmetine başvurmasını sağlar.
tekrar moda
Son tarayıcı güvenlik güncellemeleri sayesinde, CRL yaklaşımı son zamanlarda yeniden moda oldu – plakları plaktan dinlemek gibi.
Let’s Encrypt bir blog yazısında, CRL tabanlı daha iyi desteklemek için bir altyapıyı nasıl oluşturduğunu açıklayan bir blog yazısında “Tarayıcılar, kullanıcıları için CRL’leri toplayarak ve özetleyerek, sertifikaların güvenilir bir şekilde iptalini gerçeğe dönüştürüyor, web’de hem güvenliği hem de gizliliği artırıyor” diye açıklıyor. dijital sertifika iptali.
Şifrelemeyle ilgili en son haberleri ve analizleri yakalayın
Sertifikalar, ‘S’yi – güvenliği – HTTPS’ye yerleştirir. Uygulanabilir bir sertifika iptal sistemi olmadığı sürece, bir saldırganın web sitesinin dijital sertifikasını çalması durumunda web sitesi sahibi için herhangi bir düzeltme yoktur.
İptal olmadan, güvenliği ihlal edilen kimlik bilgisi, kiralama süresinin sonunda otomatik olarak sona erene kadar (çoğunlukla ilk saldırıdan yıllar sonra) geçerli kalır.
Bu istenmeyen durum, Let’s Encrypt’in ele almaya çalıştığı iptal sürecindeki eksikliklerin doğrudan bir sonucudur. Tarayıcı yazılımındaki değişiklikler ve Let’s Encrypt tarafından desteklenen yenilenmiş CRL yaklaşımı, yasal sahipleri sızdırıldığını veya çalındığını fark ettiğinde web sertifikalarını iptal etmek için etkili bir mekanizma vaat ediyor – ne yazık ki sık görülen bir sorun değil.
Bu nedenle, dijital sertifika iptali, ilk etapta güvenli bir web sitesi kurmaktan daha az, web sitenizi saldırıya uğradıktan sonra tekrar güvenli hale getirmekle ilgilidir.
Günlük Swig Let’s Encrypt’ten, diğer soruların yanı sıra, bu yaklaşımın diğer CA’lar tarafından mı yoksa standart organları aracılığıyla mı daha geniş çapta benimsenmesini teşvik etmek isteyip istemediği konusunda yorum yapmasını istedi.
Henüz bir açıklama yok, ancak daha fazla bilgi geldiğinde bu hikayeyi güncelleyeceğiz.
İçinde Twitter dizisiweb güvenliği uzmanı Scott Helme, Let’s Encrypt’in hareketinin avantajlarını ve potansiyel dezavantajlarını ve tarayıcı tabanlı CRL yaklaşımının doğasında bulunan daha geniş avantajları ve ödünleşimleri analiz etti.
ŞUNLAR DA HOŞUNUZA GİDEBİLİR LastPass, saldırganlar kaynak kodunu ve teknik bilgileri çaldıktan sonra güvenlik olayını işaretliyor