Sorduğumuz en yaygın sorulardan biri, "SSL sertifikanızın süresi dolduğunda ne olur?" Veya "SSL sertifikanızı zamanında yenilemezseniz ne olur?"
Tamam, belki bu biraz hiperbolik (ve tamamen yanlış). Ancak sertifika geçerliliğinin bazı ciddi sonuçları olabilir. Bugün, SSL sertifikanızın süresi dolduğunda neler olabileceğinden bahsedeceğiz. Sertifikaların geçerliliğinin sona ermesiyle ilgili bazı kötü örnekler vereceğiz ve SSL sertifikalarınızın süresinin sona ermesine nasıl izin verileceğine bile gideceğiz.
SSL sertifikanızın süresi dolduğunda ne olur?
Sorduğumuz soruyu cevaplayarak başlayalım ve sonra da bazı minutiaların içine gireceğiz. SSL sertifikaları, aktarılan verilerin şifrelenmesini kolaylaştırır. Web sitenizin sunucusuna bir SSL sertifikası yükleyerek, HTTPS üzerinden barındırmanıza ve sitenizle ziyaretçileri arasında güvenli, şifreli bağlantılar oluşturmanıza olanak tanır. Bu korunma iletişimi. SSL ayrıca sunucuyu doğrular.
SSL sertifikaları sonsuza kadar geçerli değil. Zaman doldular. SSL / TLS endüstrisi için de facto düzenleyici organ olarak hizmet veren bir endüstri forumu, Sertifika Yetkilisi / Tarayıcı Forumu bulunmaktadır. CAB Forumu , Sertifika Yetkililerinin güvenilir SSL sertifikalarını yayınlamak için takip etmesi gereken temel gereksinimleri belirler . Bu şartlar SSL sertifikalarının 27 aydan fazla olmayan bir ömre sahip olabileceğini belirtir (önceki sertifikanızda kalan süre ile yenilendiğinizde iki yıla kadar üç ay boyunca taşıyabilirsiniz).
Bu, her web sitesinin en az iki yılda bir SSL sertifikasını yenilemesi veya yenilemesi gerektiği anlamına gelir. Peki, SSL sertifikanızın süresi dolduğunda ne olur? Görüşün hemen hemen ulaşılamaz hale geliyor.
Bir kullanıcının tarayıcısı web sitenize ulaştığında, SSL sertifikasının geçerliliğini milisaniye cinsinden kontrol eder (SSL el sıkışmasının bir parçasıdır). Sertifikanın süresi dolduysa, böyle bir uyarı verir:
Bu mesajın aslında, sitenizin trafiği, satışları, değerlediğiniz her metrik için bir ölüm emri olduğunu söylememize gerek yok. Çoğu tarayıcı, uyarıyı tıklamak için bir seçenek sunarken, neredeyse kimse bunu yapmaz. Ortalama internet kullanıcısı siber güvenlik konusunda bir ton bile bilmeyebilir , ancak iki şey biliyorlar: bilgisayarlar pahalıdır ve kötü amaçlı yazılımlar bilgisayarları karıştırır. Yani eğer tarayıcıları onlara bir web sitesinin güvenli olmadığını söylerse veya bu durumda bağlantılarının güvenli olmaması durumunda, muhtemelen dinleyecektir.
Olmaz mıydın
SSL sertifikaları
Bu, geçmişte biraz tartıştığımız bir konuydu , ama burada hızlı bir yıkım var. Daha önce de belirttiğimiz gibi, SSL sertifikaları iki şeyi kolaylaştırmaya yardımcı oluyor: şifreleme ve kimlik doğrulama. İkincisi, sertifika süresinin dolması için büyük suçlu. Tüm SSL sertifikaları bir şeyi doğrular, hatta alan doğrulama sertifikaları bile bir sunucunun kimliğini doğrular. Her tür kimlik doğrulamada olduğu gibi, doğru olduğundan emin olmak için kullandığınız bilgileri yeniden doğrulamanız gerekir.
Bu özellikle internette doğrudur. Her zaman işler değişir. Web siteleri el değiştirir. Şirketler satın alınır ve satılır. Ve SSL / TLS, bununla baltalanabilecek bir güven modeline dayanır. Bu nedenle, sunucu ve kuruluşların kimliklerini doğrulamak için kullandıkları bilgilerin olabildiğince güncel ve doğru olduğundan emin olmak için güvenilir sertifikalar veren Sertifika Yetkilileri için önemlidir.
Pratik bir örneğe bakalım. Circuit City, on yıl önce işten çıkmış bir elektronik ve cihaz perakendeciydi. Şimdi, SSL sertifikalarının süresinin dolmadığını bir an düşünün. Devre City'nin varlıkları satıldı ya da jettison edildi, ne biri sertifika aldıysa ve alan adına verildi. Artık o alan adında istedikleri şeyi yapmakta özgürler (sertifika iptal edilene kadar, ancak tamamen ayrı bir karmaşaya kadar) ve herkesin tarayıcısı bu siteyi meşru makale olarak görecekti. Şirketi artık hayata geçiremeyen birileri kolayca kopyalanabilirdi. Sonuçta, sertifika meşrudur.
Bu olamaz. Bir şey varsa, sertifika ömürlerinin daha kısa olmasını beklersiniz. Bir noktada, SSL sertifikaları beş yıl boyunca yayınlanabilir. Sonra üçe indirildi. Daha sonra geçen yıl ikiye düştü. Bu , orijinal Google önerisinin bir yıl olduğu için bir uzlaşma oldu. Gelecekte sertifika geçerliliği 3-6 ay kadar kısa olabilir. Şu anda 3 aylık sertifikaları Şifreleyin.
Kimlik doğrulama, sertifikanın geçerlilik süresinin sona ermesi için tek suçlu değildir. Daha kısa sertifika geçerlilik sürelerine sahip olmak, endüstrinin değişiklikleri daha hızlı bir şekilde gerçekleştirmesini de kolaylaştırır. Örneğin, birkaç yıl önce SSL / TLS endüstrisi SHA-1'in bir karma algoritma olarak kullanılmasını reddetti . SSL sertifikası sipariş eden herkesin bildiği gibi, üretim sırasında karma algoritmayı seçiyorsunuz. Üç yıllık geçerlilik süresiyle, bazı durumlarda, sertifikanın süresi dolmadan son başvuru tarihinden itibaren 39 ay kadar beklemeniz ve SHA-1'in bu web sitesi tarafından kullanımdan kaldırılması gerekebilir.
Kısa geçerlilik süreleri bunu düzeltiyor. Eğer SHA-2'yi SHA-3 lehine çevireceksek (endişelenme, bu yakında gelmeyecek) SHA-2 sertifikalarını yayınlamak için bir kesinti tarihi belirleyebilir ve 27 (veya bir yıllığına düşerse 15) ) aylar SHA-2 tamamen kullanımdan kaldırılacaktı.
Yüksek Profil SSL Sertifika Süreçleri
Yanlışlıkla zamanında yenilemeyi unuttuysanız ve SSL sertifikanızın süresinin dolmasına izin verirseniz, yalnız olmadığınızı bilerek biraz teselli alabilirsiniz. Aşağıda, yüksek profilli SSL geçerlilik sürelerini içeren bir liste tutmaya devam edeceğiz:
Cisco, SSL sertifikalarından birinin süresinin dolmasına izin veriyor
Son zamanlarda Cisco'nun düzenli SSL sertifikası geçerlilik süresinin sona erdiği bir sorun vardı: Cisco'nun kökü sona erdi. Birkaç gün önce tartıştığımız gibi, Roots sertifikaları SSL / TLS güven modelinin ayrılmaz bir parçasıdır . Atasöz ağacın üst kısmında yer alan Kök sertifikaları, ara ve son kullanıcı SSL sertifikalarını imzalamak ve yayınlamak için kullanılır. Bu durumda, kök kullanıcıların potansiyel olarak da geçersiz hale olabilirdi sonuna kadar verilen her sertifika anlamına Cisco'nun VPN birine bağlıydı. Neyse ki, bu gerçekleşmiş gibi görünmüyor, kullanıcılar sadece yeni son noktalar üretmekten engellendi.
Sorun APEC-EM Sürüm 1.6.3'te çözüldü.
Pokemon Go, SSL sertifikasının süresinin dolmasına izin veriyor
Niantic, Pokemon Go ile biraz yeniden canlanıyor gibi görünüyor, ancak 2018 yılının Ocak ayında oyun, oyun hatalarını ve diğer sorunların bir litosunu yaşıyordu. Bunlardan biri, SSL sertifikalarının sona ermesiydi. Hizmet kesintisi kısa oldu, yaklaşık yarım saat sürdü, ama o zaman Niantiç'in yüzünde daha çok yumurta vardı.
Onların servetlerinin dönüyor gibi göründüğünü görmek güzel.
İngiltere Muhafazakar Parti, SSL Sertifikasının Süresinin Geçmesine İzin Veriyor
Birleşik Krallık'ta bilindiği gibi, Tories, genel olarak şifreleme söz konusu olduğunda büyük bir itibara sahip değildir. Eski ev sekreteri Amber Rudd ve Başbakan Theresa May , açıkça anlaşılmasa da şifrelemeyi herkese açık bir şekilde eleştirdiler.
Öyleyse, 8 Ocak 2018'de, Tories'in web sitesinin SSL sertifikasının sona ermesinden sonra düştüğü ironikti.
LinkedIn, SSL Sertifikasının Süresinin Geçmesine İzin Veriyor
Aralık 2017’nin başında, LinkedIn’den SSL sertifikalarının geçerliliğinin sona ermesine izin verildi. ABD, İngiltere ve Kanada'daki LinkedIn sitelerini çaldı. Venafi’nin Başkan Yardımcısı Kevin Bocek’in dediği gibi:
“LinkedIn’in rahatsızlığı, sertifikaların kontrol edilmesinin neden bu kadar önemli olduğunu gösteriyor. LinkedIn, takip edebilmek için binlerce sertifikaya sahip olurken, dünkü gibi kesintiler sorunlara neden olan tek bir sürenin geçtiğini gösteriyor. Kontrolde kalmak için kuruluşlar, her bir sertifikanın ağındaki keşif, yönetim ve değiştirmeyi otomatikleştirmeye çalışmalıdır. ”
LinkedIn, bir DigiCert Organization Valide SSL sertifikası ile sorunu hızlı bir şekilde düzeltti.
SSL sertifikanızın süresinin geçmesine nasıl izin verilmez?
Sertifika yönetimi söz konusu olduğunda, işletme işletmelerinde farklı sorunlar vardır. Küçük ve Orta Ölçekli İşletmeler (KOBİ'ler) bir ya da birkaç sertifikaya sahip olsalar da, Kurumsal şirketler ağları, çok sayıda bağlı cihazı ve genel olarak daha geniş bir alana yayılmışlardır. Kurumsal düzeyde, bir SSL sertifikasının süresinin dolmasına izin verilmesi genellikle yetersizliğin değil, gözetimin sonucudur.
Bu zorlukların üstesinden gelmek için bir çok Enterprise şirketiyle çalışıyoruz. Sertifika süresinin dolmasından kaçınmak için bazı uygulanabilir tavsiyeler.
- SSL sertifikalarınızı almış olduğunuz herhangi bir CA veya SSL hizmeti, son kullanma tarihlerini 90 gün içinde başlayarak belirli aralıklarla size gönderir. Bu hatırlatıcıları yalnızca bir kişiye değil, bir dağıtım listesine gönderilmek üzere ayarladığınızdan emin olun. Verilen sertifikayı alırken kullandığınız Kontak Noktası, kullanım süresi dolduğunda olmayabilir. Belki de Noel partisine gittiler, terfi ettiler ya da sadece biraz fazla içtiler ve konserve yaptınız - durum ne olursa olsun, bildirimlerin doğru insanlara ulaştığından emin olmalısınız.
- Son kullanma tarihi yaklaştıkça hatırlatıcıları yükseltmek için uygun kanalları belirleyin. Örneğin, 90 gün içinde, yalnızca bildiriminizin dağıtım listenize gönderilmesini isteyebilirsiniz. 60 gün içinde listenize ve sistem yöneticinize gönderdiniz. 30 günde, hem listeye hem de sistem yöneticisine gönderirsiniz ve şimdi BT Yöneticiniz döngü içinde olur.
- İyi bir sertifika yönetim platformu bulun. Kurumsal işletmelerin karşılaştığı en büyük zorluklardan biri de görünürlüktür. Bunları göremiyorsanız, süresi dolan sertifikaların yerini alamazsınız. Satıcı agnostik olmaya devam ediyoruz, ancak DigiCert, Comodo ve Venafi'nin, işletmelerin tüm altyapılarında dijital sertifikaları görmelerine ve yönetmelerine yardımcı olabilecek muazzam platformları var. Ayrıca, düzenli olarak oturum açtığınızdan emin olun, böylece yenilemeleriniz olduğunda size bilgi verebilirsiniz.
- Hangi CA'larla çalışmak istediğinize karar verin ve ardından alan adlarınız için kimlerin yayınlanabileceğini kısıtlamak üzere CAA kayıtları oluşturun. Bu, yeni sahtekarlık sertifikalarının çıkarılma olasılığını ortadan kaldırmaya yardımcı olacaktır. PKI'nızı tek bir platformda ne kadar çok birleştirirseniz o kadar iyi olursunuz.
- Sahte sertifikalardan bahsetmişken, iyi bir tarama aracı bulup daha sonra sahte sertifikaları bulmak ve izlemek için düzenli olarak kullanın.
Yani, SSL sertifikanızın süresi dolduğunda böyle olur
Süresi dolan bir SSL sertifikasını yenilemenin veya değiştirmenin unutulması, herkesin başına gelebilir. Ancak, ortaya çıkabilecek riski en aza indirmeye yardımcı olacak pek çok araç var. Görüştüğümüz gibi, anahtar görünürlük ve iyi iletişim hatlarına sahip olmakta, böylece son kullanma süresinden önce çıkabilirsiniz.
.png)
