Güvenlik işlemleri
Kamu TLS sertifikalarının maksimum geçerliliği 398 günden sadece 47 güne düşecek
Mathew J. Schwartz (Euroinfosec) •
19 Ağustos 2025
Dijital sertifikaları yönetmenin geleceği zaten burada – henüz eşit olarak dağıtılmadı.
Ayrıca bakınız: Web Semineri İsteğe Bağlı: Yeni Nesil Erişim Modellemesi: En az ayrıcalık ve sıfır güven için AI odaklı roller
Web genel anahtar altyapı ekosistemine yönelik riskleri azaltmaya ve otomasyon topunu daha hızlı hale getirmeye istekli olan endüstrinin sertifikasyon otoritesi tarayıcı forumu, 11 Nisan’daki kamu TLS sertifikalarının maksimum geçerliliğini 398 günden 47 güne azaltmak için bir hareket onayladı.
TLS temel gereksinim değişimi, yani “internet üzerinden erişilebilen kimlik doğrulaması” için geçerlidir, Mart 2026’da başlayacak ve Mart 2029’da tam olarak yürürlüğe girecektir.
Bahisler yüksek. Dijital sertifikalar, HTTPS’de “S” – güvenli – sağlayarak tarayıcılar ve siteler arasındaki iletişimi koruyun. Ödeme kartı verilerini e-ticaret sitelerine göndermek, hasta portallarından sağlık bilgilerine erişmek, çevrimiçi e-postaları okumak ve çok daha fazlası güvenilir dijital sertifikalara güvenmektedir.
Bir sertifikanın geçerlilik süresinin azaltılması birden fazla fayda sağlar. Önceki sertifika iptallerinin gösterdiği gibi, aslında her kötü sertifikayı geniş ekosistem boyunca zamanında iptal etmek zor bir iştir. Sertifikaların süresi daha sık sona erer.
CA/tarayıcı forumu ayrıca “sertifikaların otomatik olarak verilmesini, değiştirilmesini ve rotasyonunu sağlayan sertifika yaşam döngüsü yönetimi bileşenlerinin kalitesi, istikrarı ve kullanılabilirliği” nin yardımcı bir faydasını bekliyor. Böyle bir otomasyon her hastalığı düzeltmeyecek olsa da, forum “kesinlikle yardımcı olur” dedi.
Kökleşmiş alışkanlıklar
Sertifika yönetimi çok sık, hala manuel bir süreçtir, otuz yıllık yerleşik uygulamalar nedeniyle küçük bir kısımda gerçektir. Sistem yöneticisi Matt Palmer bir blog yazısında, “İnsanların işleri yapma biçimlerini değiştirmesinin inanılmaz derecede zor olduğu göz önüne alındığında, ‘işe yarayacak bir yola sahip olduklarında, bu CAS tarafından verilen sertifikaların çoğunun aynı insan merkezli, hataya eğilimli bir şekilde ele alındığını varsaymak makul görünüyor.” Dedi.
Geçen yıl yayınladığı bir çalışmada Palmer, daha yeni, kar amacı gütmeyen bir CAS gibi CAS’ın sertifika vermek için otomatik sertifika yönetimi ortamını kullanan ve kullanıcılarını aktif olarak kullanmaya teşvik eden, tehlike altındaki sertifikalar oranlarını büyük ölçüde daha düşük olduğunu buldu.
Paket servisi, açık olduğunu söyledi: “İnsanların sertifika verilmesiyle ne kadar az ilgisi varsa, bu sertifikayı özel anahtarı açığa çıkararak tehlikeye atma olasılıkları o kadar az olur.”
Geleneksel CAS da, ikizin 47 günde bir sona eren sertifikaları yönetmesi ve organizasyonları quantum sonrası kriptolara taşıması gerektiğini söylüyor. Bilgi Güvenliği Medya Grubu ile geçen yılın sonlarında Digicert’s’in kıdemli direktörü Dian Coclin, “Bunları yönetmenin tek yolu bir sertifika yaşam döngüsü yönetim aracı ile olacak.” Dedi.
CA/tarayıcı forumunun şu anki başkanı olan Coclin, “Bu zorunludur, çünkü CA/tarayıcı forumunun şu anki başkanı olan Coclin,” Bu zorunludur, çünkü bu kısa sertifika ömrülerle artık işe yaramayacak, görünümünüze takvim hatırlatıcılarını koymanın ve cep telefonunuza veya belki de çağrı cihazınıza uyarı göndermenin eski günleri. “Dedi.
Şifreleme çevikliği gerekli
Her iki gereksinimi de yönetmek için gereken sözde kriptografik çevikliğin elde edilmesi söz konusu olduğunda, birçok kuruluş henüz orada olmadıklarını söylüyor.
Pazar araştırmacısı Omdia’dan yeni bir araştırma, “Farkındalık yüksek olsa da, infaz gecikiyor” diyor. Diyerek şöyle devam etti: “Birçok kuruluş hareket etmeleri gerektiğini biliyor ancak açık yol haritaları veya bunu yapmak için iç hizalamadan yoksun.”
Daha önce Comodo olarak bilinen Sertifika Otoritesi Sectigo tarafından görevlendirilen çalışma, dünyanın dört bir yanındaki orta büyüklükte ve büyük kuruluşlarda 272 “BT karar vericisi” anketine dayanmaktadır ve kuruluşların sadece% 30’unun tüm kamu SSL/TLS sertifikalarının tam, tam olarak güncellenmiş bir envanterine sahip olduklarına inandıklarını bildirmektedir. Geri kalanların kısmi bir envanteri var, bunları izlemek için manuel yöntemlere güveniyor veya kaç tane olabileceğine dair hiçbir fikri yok.
Omdia’nın siber güvenlik baş analisti baş analisti Rik Turner, “Belki otuz yıldır var oldukları için, TLS certs, en azından birçok katılımcımızın algısında işe yaramasını sağlayan ‘sıhhi tesisat’ içine emilmiş gibi.” Dedi. Diyerek şöyle devam etti: “Bu yüzden, turneyi kendilerine doğru namluya çeken 47 günlük sorunun farkında değil gibi hissettiriyor ve otomasyon ihtiyacını örgütlerine dayatacağını düşünmemiş gibi görünüyor.”
Çok daha kısa sertifika yenileme zaman dilimini yönetmek için, ankete katılan kuruluşların sadece% 19’u “çok hazırlıklı olduklarını” söylüyor,% 40’ı biraz hazırlıklı olduklarını ve% 40’ının çok hazırlıklı olmadıklarını ve şimdiye kadar manuel süreçlere güvenmeye devam ettiğini söylüyor.
Sectigo baş uyum görevlisi ve CA/tarayıcı forumu başkan yardımcısı Tim Callan, “Tarihsel olarak, kuruluşlar kötü sertifika hijyeni ile geçebildi çünkü kriptografi büyük ölçüde statikti.” Dedi.
Yaklaşan, sertifikaların süresi dolmadan 47 günlük maksimum dönem ve quantum sonrası şifrelemeyi benimseme ihtiyacı sayesinde, “Bu hata marjı kayboluyor” dedi.