TrustAsia, LiteSSL ACME hizmetinde kritik bir güvenlik açığının tespit edilmesinin ardından 143 SSL/TLS sertifikasını iptal etti.
21 Ocak 2026’da açıklanan kusur, alan adı doğrulama verilerinin farklı ACME hesaplarında yeniden kullanılmasına izin vererek diğer kullanıcılar tarafından doğrulanan alan adları için yetkisiz sertifika verilmesine olanak sağladı.
Güvenlik açığı, her sertifika verilmesi için benzersiz etki alanı doğrulamasını zorunlu kılan CA/Tarayıcı Forumu Temel Gereksinimlerini (TLS BR Sürüm 2.2.2, Bölüm 3.2.2.4) ihlal etti.
Temel sorun, LiteSSL’nin ACME hizmetinin Yetkilendirme nesnelerini işlemesindeki bir mantık hatasından kaynaklanıyordu.
Hizmet, Mozilla tarafından bildirildiği üzere Sertifika İmzalama İsteğinin (CSR) ilk doğrulamayı gerçekleştiren aynı ACME hesabından gelip gelmediğini doğrulayamadı.
Bu hata, saldırganların DNS-01 sorgulamalarını yeniden tetiklemeden, verme sürecini ele geçirmelerine ve isteğe bağlı alanlar için joker karakter sertifikaları elde etmelerine olanak tanıdı.
Ayrıca araştırmacılar, LiteSSL’nin DNS-01 doğrulama zorluklarına karşı aşırı derecede uzun bir önbellek tuttuğunu ve bu durumun kullanım penceresini önemli ölçüde genişlettiğini keşfetti.
| Alan | Değer |
|---|---|
| Sertifika Yetkilisi | TrustAsia |
| Etkilenen Hizmet | LiteSSL ACME |
| Güvenlik Açığı Türü | Alan Adı Doğrulamanın Yeniden Kullanımı / Yetkilendirmeyi Atlama |
| Etkilenen Sertifikalar | Toplam 143 (140’ı iptal edildi, 3’ü önceden iptal edildi) |
| İhraç Dönemi | 29 Aralık 2025’ten sonra |
| Protokol | ACME (DNS-01 mücadelesi) |
Etkilenen 143 sertifikanın tümü, 29 Aralık 2025’ten sonra ACME protokolü aracılığıyla yayınlandı. Güvenlik açığının doğrulanması üzerine TrustAsia, ACME düzenleme hizmetlerini derhal askıya aldı ve kapsamlı bir sistem iyileştirmesi başlattı.
Şirket birkaç saat içinde kod düzeltmelerini tamamladı, yamaları üretime dağıttı ve halen geçerli olan 140 sertifikayı iptal etti; üçü daha önce iptal edilmişti.
TrustAsia, üretimdeki tüm ACME Yetkilendirmelerini GEÇERLİ durumdan İPTAL EDİLDİ durumuna sıfırlayarak istemcileri, sertifika vermeye devam etmeden önce yeniden doğrulama yapmaya zorlar.
Olay, CA/Tarayıcı Forumu gerekliliklerine uyulmadığını teşkil etmektedir. TrustAsia, temel neden analizini ve uyumsuzluğun kesin başlangıç tarihini ayrıntılandıran kapsamlı bir Tam Olay Raporu yayınlamayı taahhüt etmiştir.
Olay Zaman Çizelgesi ve Teknik Veriler
| Saat (UTC+8) | Etkinlik | Detaylar |
|---|---|---|
| 14:55 | Rapor Alındı | V2EX işaretli alan doğrulama yeniden kullanım sorunu aracılığıyla topluluk raporu |
| 15:10 | Ön Onay | Sorun onaylandı; ACME düzenleme hizmeti derhal askıya alındı |
| 15:30 | Kapsam Araştırması | Etki kapsamı belirlendi; Sertifika soruşturması başladı |
| 15:33 | İlk İptal | Topluluk raporundan iki sertifika iptal edildi |
| 21:00 | Kod Düzeltme Tamamlandı | Düzeltme test ortamında başarıyla doğrulandı |
| 21:21 | Tam Kapsam Belirlendi | Etkilenen 143 sertifikanın tamamı belirlendi; toplu iptal başlatıldı |
| 21:30 | İptal Tamamlandı | 140 geçerli sertifika iptal edildi (daha önce iptal edilen 3 sertifika) |
| 21:41 | Üretim Dağıtımı | Üretim ortamına dağıtılan yamalı kod |
| 22:35 | Yetkilendirme Sıfırlama | Tüm ACME Yetkilendirmeleri GEÇERLİ’den İPTAL’e sıfırlandı; yeniden doğrulama istendi |
| 22:50 | Dahili Doğrulama | Üretim ortamı doğrulaması başarıyla tamamlandı |
| 23:00 | Hizmet Geri Yüklendi | Harici ACME düzenleme hizmeti tamamen geri yüklendi |
TrustAsia, güvenlik açığının keşfedilmesinden sonraki 8 saat içinde kontrol altına alarak ve hizmeti tamamen düzelterek olaylara hızlı yanıt verdi.
29 Aralık 2025 ile 21 Ocak 2026 arasında LiteSSL ACME aracılığıyla sertifika veren kuruluşlar, sertifika durumunu doğrulamalı ve olası yeniden düzenleme gereksinimlerine hazırlanmalıdır.
Olay, ACME uygulamalarında uygun hesap bağlamı doğrulamasının kritik öneminin ve sertifika doğrulama iş akışları sırasında kullanıcı alanları arasında katı bir ayrım yapılmasının gerekliliğinin altını çiziyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.