Kâr amacı gütmeyen Internet Security Research Group'tan (ISRG) ücretsiz, otomatik ve açık bir sertifika imzalama yetkilisi (CA) olan Let's Encrypt bir milyar sertifika yayınladı 2015'teki lansmanından bu yana.
CA yayınladı ilk sertifika Eylül 2015'te, nihayet ulaşmadan önce Haziran ayında 100 milyon 2017. Let's Encrypt, geçen yılın sonlarından bu yana her gün en az 1.2 milyon sertifika yayınladı.
Geliştirme, web sayfası yüklemelerinin yüzde 80'inden fazlasının kullanılmaya başlamasıyla gerçekleşir. Dünya çapında HTTPS, ve Yüzde 91 artış. sadece ABD'de.
İnternette güvenli iletişimin varsayılan yolu olan HTTPS'nin üç avantajı vardır: kimlik doğrulama, bütünlük ve şifreleme. HTTP isteklerinin güvenli, şifrelenmiş bir kanal üzerinden iletilmesine izin vererek, kullanıcıları site sahteciliği ve içerik manipülasyonu dahil olmak üzere bir dizi kötü amaçlı etkinlikten korur.
Şirket, "2017'den beri, tarayıcılar daha fazla özellik için HTTPS gerektirmeye başladı ve kullanıcılarıyla HTTPS kullanmamanın riskleri hakkında iletişim kurma yollarını büyük ölçüde geliştirdiler" dedi. "Web siteleri HTTPS kullanmayarak kullanıcılarını riske attığında, büyük tarayıcılar artık daha güçlü uyarılar gösteriyor. Birçok site, HTTPS'yi dağıtarak yanıt verdi."
Web'in şifreleme oranını hızlandırmak ve HTTPS'yi etkinleştirme maliyetlerini düşürmek amacıyla başlatılan Let's Encrypt'in ACME (Otomatik Sertifika Yönetim Ortamı) protokolü, SSL sertifikaları kurun ve yayınlayın Bu olabilir yenilendi ve değiştirildi web yöneticilerinin manuel müdahalesi olmadan.
Elektronik Sınır Vakfı'nın Certbot Let's Encrypt sertifikalarını otomatik olarak dağıtarak web sitelerinde HTTPS'yi etkinleştiren popüler bir açık kaynaklı, kullanımı ücretsiz ACME istemcisidir. sadece 90 gün geçerlidir — ve yenilemeleri yönetme.
Ancak, Let's Encrypt HTTPS sertifikalarını kötüye kullanan kötü aktörlerle kötü amaçlı trafiği maskelemek ve şüphelenmeyen kullanıcıları şu adrese yönlendirin: Kötü Amaçlı Sitelerşirket var atılan adımların "bir sertifika adayının, sertifika almak istediği alanı fiilen kontrol etmesini sağlamak."
Apple Önemli Bir Adım Atıyor
Ama hepsi bu kadar değil. Apple, çoğu CA'nın bunca zaman yapmakta tereddüt ettiği şeyi yapmayı başardı: verilen sertifikaların maksimum geçerlilik süresini bir yıla indirdi.
Teknoloji devi kısa bir süre önce, 1 Eylül 2020'den itibaren Safari'nin, oluşturma tarihinden itibaren 13 aydan (veya 398 günden) daha uzun süre geçerliliğini yitiren yeni HTTPS sertifikalarını reddedeceğini duyurdu. maksimum sertifika ömrü 825 günden itibaren.
Bu bir başarısız oylama CA/Browser Forum tarafından sertifika ömürlerini azaltmak için geçen Eylül ayında düzenlendi. Let's Encrypt, certSIGN, Apple, Cisco, Google, Microsoft, Mozilla ve Opera hareket lehinde oy kullansa da, katılan CA'ların yaklaşık üçte ikisi bu fikri reddetti.
Apple'ın HTTPS sertifikalarının ömrünü kısaltma hamlesi, Let's Encrypt gibi CA'ların ve Certbot gibi ACME istemcilerinin, web sitesi yöneticilerini 1 yıl veya daha kısa bir süre için verilen bir sertifikayı kullanmaya zorlayacağından, yalnızca ileride daha değerli hale geleceği anlamına gelir.
Kısa Ömürlü Sertifikalar Güvenliği Nasıl Artırır?
Sertifika ömürlerini sınırlamak, suçluların kimlik avı ve kötü amaçlı yazılım saldırıları düzenlemek için ihmal edilen sertifikaları çalma olasılığını azalttığı için web sitesi güvenliğini artırır.
İkinci olarak, Chrome ve Firefox'un mobil sürümleri proaktif olarak sertifika durumunu kontrol etmez, bu da sertifikası iptal edilen bir web sitesinin kullanıcıya herhangi bir uyarı vermeden yüklenmeye devam edeceği anlamına gelir.
Bu içindir performans nedenleri çünkü tarayıcılar, sayfa yüklemelerini etkileyen, boyut olarak oldukça büyük olabilen sertifika iptal listelerini (CRL'ler) indirmek zorunda kalacaklardır.
Bunun yerine Chrome, CRLSkümeleri Mozilla, "acil durumlarda sertifikaları bloke etmek" için deneyler yapıyor. CRLit gece yapılarında.
Bu tekniklerin yanı sıra Firefox üreticisi, “adlı yeni bir kriptografik protokol için teknik özellikleri de duyurdu.TLS için Yetki Verilmiş Kimlik BilgileriBu, "şirketlerin, 7 günden uzun olmayan bir geçerlilik süresiyle ve tamamen sertifika yetkilisine güvenmeden, kendileri için yeni sertifikalar imzalama süreci üzerinde kısmi kontrol sahibi olmalarına olanak tanır."
Apple'ın sertifika ömürlerini kısaltma kararının güvenlik için önemli bir adım olduğunu söylemeye gerek yok. Ayrıca, kullanıcıların güvenliği ihlal edilmiş web sitelerine bağlanmasını proaktif olarak önlemeye yardımcı oluyorsa, bu yalnızca iyi bir şey olabilir.
