Şubat 2020 tarihinde Slovakya Bratislava’daki CA / Browser forumunda Apple 1 2020 Eylül’den itibaren safari browser için yeni yayınlanan SSL/TLS sertifikalarının (public olmak koşulur ile) 398 günden fazla geçerli olmayacağını duyurdu. Bu sertifika yaşam sürelerini azaltmak ve güvenliği artırmak için çalışan CA / B Forum topluluğunun uzun süredir üzerinde çalıştığı bir konuydu.
Aslında anons edilme tarihi her ne kadar eski olsa da son tarih yaklaştığı için hatırlatmakta fayda gördüğüm için bu haberi yapma ihtiyacı duydum.
Malum bu sektörde eski olanlar 5 yıllık sertifikaların üretildiği zamanları hatırlayacaktır. Bir süre sonra bu süre uzun bulundu ve maksimum 3 yıllık sertifika üretileceği söylendi, daha sonra bu süre 2 yıl oldu ve nihayet kimi üreticiler için 18 Ağustos 2020 itibari ile artık sertifikaları yıllık almak zorundayız. (Üreticiler genel olarak bu kararı kabul etsede uygulama noktasında küçük zaman farklı oluştu ancak 1 eylül kesin son tarih). Burada tabi sektör biraz rahatsız. Uzun süreli sertifikaları almak, kullanmak bazen pozitif bazen negatif etki yaratıyor. Özellikle çok fazla finans ve ödeme sistemleri ile entegrasyonu olan, SSL/TLS trafiği yüksek ve buna bağlı olarak çok fazla sistemde sertifika kullanan insanlar için her yıl sertifika değiştirmek ciddi bir yük. Bu da aslında bu tür şirketlerin özellikle güvenilir sertifika yönetimi araçlarını kullanmaya itmektedir. Bu benim de desteklediğim bir şey ki bırakın 1 yıl, 2 yıl 5 yıllık sertifika bile olsa insanoğlu malum unutuyor veya atlayabiliyor, böyle olunca ki hepimiz mutlaka görmüşüsüzdür koca koca devlet kurumları dahi hizmet veremez duruma düşüyor. Hal böyle olunca zaten sertifikaların yönetiminin merkezi ve otomatikleşmesini tetikleyeceği için aslen ben bu süreci destekliyorum. Peki dedik ki her yıl elle sertifika yönetimi yapana bu bir zorluk ama otomasyona itmesi nedeni ile iyi olabilir, başka neler olabilir? Malum uzun süreli sertifikalardaki en büyük sorun güncel bilgi olmayışı, yani sertifika oluşturduğunuz zamanki bilgiler ile şu andaki şirket bilgilerinizde farklılıklar olabilir. Gerçi bunu misal 5 yıllık sertifika bile alsanız istediğiniz zaman yeniden üretip ücretsiz bir şekilde güncelleyebiliriyorsunuz. Ama buradaki asıl nokta aslında daha kısa süreli verilen sertifikaların daha sık değiştirilmesi ile olası atak ve çalınmaya karşılık (haberiniz olmadan aksi taktirde zaten hemen otoriteye haber verdiğimiz zaman CRL güncellenir) daha güvenli olacaktır.
Evet sonuçlarını hep beraber yaşayarak göreceğiz.
Kaynak