TrustAsia, LiteSSL ACME hizmetinde bir güvenlik açığının tespit edilmesinin ardından 143 SSL/TLS sertifikasını iptal etti. Bu kusur, etki alanı doğrulama verilerinin farklı ACME hesapları arasında uygunsuz şekilde yeniden kullanılmasına izin vererek, düzenleme hizmetlerinin derhal askıya alınmasına ve ardından etkilenen sertifikaların toplu olarak iptal edilmesine yol açtı.
2011713 numaralı Mozilla Bugzilla bileti altında takip edilen olay, 21 Ocak 2026’da alınan bir topluluk raporuyla tetiklendi. Güvenlik açığı özellikle 29 Aralık 2025’ten sonra ACME protokolü aracılığıyla verilen sertifikaları etkiledi.
Teknik Kök Sebep ve Etki
Temel sorun, Yetkilendirme nesnelerinin LiteSSL ACME hizmetinin işlenmesindeki bir mantık hatasından kaynaklanıyordu. Araştırmalar, “Yetkilendirme verilerinin farklı ACME hesapları arasında yeniden kullanıldığını” ve hesap bağlamı başına benzersiz doğrulama gereksiniminin etkili bir şekilde atlandığını ortaya çıkardı.
Topluluk spekülasyonları başlangıçta sorunun veritabanındaki Harici Hesap Bağlama (EAB) atamalarıyla ilgili olabileceğini öne sürse de TrustAsia, mimarilerinin ACME Hesapları ve EAB’ler arasında sıkı bire bir eşlemeyi sürdürdüğünü açıkladı.
Olay Kapsamı:
- Etkilenen Toplam Sertifikalar: 143
- Etkilenen Protokol: ACME (Otomatik Sertifika Yönetim Ortamı)
- Savunmasız Dönem: 2025-12-29 sonrası düzenleme tarihleri
- Durum: Etkilenen tüm sertifikalar iptal edildi; hizmet yamalı ve çevrimiçidir.
Aşağıdaki zaman çizelgesi, TrustAsia tarafından 21 Ocak 2026’da (UTC+8 saatinde) gerçekleştirilen müdahale eylemlerini özetlemektedir.
| Zaman | Etkinlik Açıklaması |
|---|---|
| 14:55 | Uyumluluk ekibi, alan doğrulamasının yeniden kullanımına ilişkin bir rapor (V2EX aracılığıyla) aldı. |
| 15:10 | Sorunun ön onayı; ACME düzenleme hizmeti askıya alındı. |
| 15:30 | Etki kapsamı onaylandı; Belirli sertifikalara yönelik soruşturma başladı. |
| 15:33 | İlk raporda belirtilen iki spesifik sertifika için iptal işlemi başlatıldı. |
| 21:00 | Kod düzeltmesi test ortamında tamamlandı ve doğrulandı. |
| 21:21 | Etkilenen 143 sertifikanın tamamının tanımlanması tamamlandı; toplu iptal işlemi başlatıldı. |
| 21:30 | Kalan 140 geçerli sertifikanın iptali tamamlandı (3 tanesi daha önce iptal edilmişti). |
| 21:41 | Üretim ortamına dağıtılan yamalı kod. |
| 22:35 | Tüm ACME Yetkilerinin sıfırlanması GEÇERLİ ile İPTAL EDİLDİistemcinin yeniden doğrulanmasını zorunlu kılıyor. |
| 23:00 | Harici ACME düzenleme hizmeti tamamen geri yüklendi. |
Bu olay, Sertifika Yetkilisinin verilmeden önce her Tam Nitelikli Alan Adını (FQDN) doğrulaması gerektiğini zorunlu kılan CA/Tarayıcı Forumu Temel Gereksinimlerini (TLS BR Sürüm 2.2.2), özellikle Bölüm 3.2.2.4’ü ihlal etmektedir.
TrustAsia, Mozilla Bugzilla başlığında daha ayrıntılı bir temel neden analizi ve uyumsuzluğun kesin başlangıç tarihini içerecek bir Tam Olay Raporunun yayınlanacağını belirtti.
Üretim ortamındaki tüm ACME Yetkilendirmeleri sıfırlandı İPTAL EDİLDİ Kalıcı geçersiz yetkilerin yeni düzenleme için kullanılmasını önlemek için durum.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
