3 puan yazan GN⁺ 2024-11-21 | 1 yorum | WhatsApp'ta paylaş
  • İnternette kişisel ve ticari bilgiler daha sık aktarılırken, Let’s Encrypt TLS yaygınlaşmasının önündeki giriş engelini düşürmeyi amaçlayan ücretsiz sunucu sertifikaları sunan bir sertifika otoritesi olarak ortaya çıktı
  • Tarayıcılar ve sunucular zaten TLS’yi destekliyordu, ancak operatörler için sertifika alma, kurma ve yenileme hem karmaşık hem de maliyetli bir işti
  • Mozilla, Cisco, Akamai, EFF, IdenTrust ve University of Michigan araştırmacıları, ISRG aracılığıyla iş birliği yaparak 2015’in ikinci çeyreğinde altyapıyı sunmayı hedefledi
  • Çalışma ilkeleri ücretsiz, otomasyon, güvenlik, şeffaflık, açıklık ve iş birliğidir; buna yayınlama ve iptal kayıtlarının herkese açık olması ile açık standart protokoller de dahildir
  • Güvenliğin belirli bir kuruluş tarafından kontrol edilmesine değil, tüm topluluğun kullanabileceği evrensel ve açık internet güvenliği oluşturmaya odaklanır

TLS yaygınlaşmasını engelleyen sunucu sertifikası bariyeri

  • Kişisel ve ticari bilgiler internet üzerinden daha sık aktarılıyor, ancak kullanıcıların bu aktarımın ne zaman gerçekleştiğini her zaman bilmesi zor
  • TLS, SSL’nin devamı olan bir teknolojidir ve tüm cihazlardaki tarayıcılar ile veri merkezi sunucuları tarafından zaten desteklenir
  • TLS ile korunan iletişimin temelinde, kullanıcının amaçladığı sunucuyla gerçekten iletişim kurduğunu kanıtlayan bir açık anahtar sertifikası bulunur
  • Birçok sunucu yöneticisi için en temel sunucu sertifikası bile hâlâ bir yük olmaya devam ediyordu
    • Başvuru süreci kafa karıştırıcı olabilir
    • Genellikle ücretlidir
    • Doğru şekilde kurmak zordur
    • Yenileme zahmetlidir

Let’s Encrypt’in önerdiği ücretsiz ve otomatik sertifika otoritesi

  • Let’s Encrypt, iş birliği ve açıklık temelinde kurulan yeni bir ücretsiz sertifika otoritesidir
  • Alan adı sahipleri, kendi alan adları için doğrulanmış temel sunucu sertifikalarını tek tıklamalı bir süreçle alabilir hale gelir
  • Mozilla Corporation, Cisco Systems, Akamai Technologies, Electronic Frontier Foundation, IdenTrust ve University of Michigan araştırmacıları Internet Security Research Group (ISRG) üzerinden iş birliği yapar
  • ISRG, Kaliforniya merkezli bir kamu yararı kuruluşudur ve aynı hedefi paylaşan diğer kuruluşların katılımını da memnuniyetle karşılar
  • Çalışma ilkeleri şunlardır
    • Ücretsiz: Alan adı sahipleri ilgili alan adı için doğrulanmış sertifikaları ücretsiz alabilir
    • Otomasyon: Sertifika kaydı, sunucunun ilk kurulum veya yapılandırma sürecinde gerçekleştirilir ve yenileme arka planda otomatik olarak yapılır
    • Güvenlik: En güncel güvenlik teknikleri ile en iyi uygulamaların hayata geçirilmesi için bir platform görevi görür
    • Şeffaflık: Sertifika yayınlama ve iptal kayıtları, herkesin inceleyebilmesi için açık olarak yayımlanır
    • Açıklık: Otomatik yayınlama ve yenileme protokolleri açık standart olarak geliştirilir, mümkün olduğunca çok yazılım açık kaynak olarak sunulur
    • İş birliği: İnternet protokollerinde olduğu gibi tüm topluluğa fayda sağlayan ortak bir çaba olarak işletilir
  • ISRG ve ortaklarıyla ilgili bilgiler About sayfasında bulunabilir

1 yorum

 
GN⁺ 2024-11-21
Hacker News görüşleri
  • Kesinlikle en iyi hizmetlerden biri; sertifika ticaretini durdurdu ve interneti daha güvenli hale getirdi.
    Bir zamanlar HTTPS bağlantısı, sertifika maliyeti alan adından çok daha pahalı olduğu için ancak “ciddi” projelerde kullanılan bir şeydi. Önce sertifikasız başlayıp işler yolunda giderse yaklaşık 100 dolar verip sertifika satın alma şeklindeydi.

    • Hâlâ durumu pek bilmeyip 2013’teymiş gibi barındırma sağlayıcısından her yıl elle sertifika satın alan ya da otomatik yenileme ödemesi yapan epey kişi var.
    • Kabaca ayarlanmış bir proxy, hangi alan adı girilirse girilsin sertifika isteyecek şekilde yapılandırılmıştı; bir saldırgan bunu fark edip rastgele alt alan adları eklenmiş HTTP istekleri göndermeye devam etti.
      Bunu fark ettiğimde aklıma ilk gelen “Let’s Encrypt tarafından engellenirsem ne olur?” değil, “tembel yapılandırmam yüzünden Let’s Encrypt’e gereksiz yük bindirdiğim için üzgünüm” oldu. Let’s Encrypt, en azından son 10 yılda web’in başına gelen en iyi şey.
    • Mozilla çok eleştiri alıyor ama yalnızca letsencrypt bile dünyayı daha iyi bir yer haline getiriyor.
      Ondan önce hizmetlerimde hiç SSL kullanmıyordum. Çünkü maliyet-fayda dengesi tutmuyordu. Ondan beri kullanmadığım olmadı.
    • Eskiden de tek alan adı için “gerçek” sertifikayı ücretsiz alabileceğiniz hizmetler vardı, ama süreç karmaşık ve zahmetliydi.
      Kişisel projelerde birden çok alt alan adını kapsayan wildcard sertifikaya ihtiyaç duyduğunuzda bir anda çok pahalılaşıyordu; bu sorunun tamamen çözülmüş olması güzel.
    • Google/Chrome ve Firefox da ücretsiz ve açık bir sertifika otoritesinin mümkün hale gelmesinde pay sahibi.
  • Bizim ölçütümüze göre 10. yıl dönümünü 2025 olarak görüyoruz, ama buradaki sıcak sözler için minnettarız.
    Bugün, Let’s Encrypt’i çıkaracağımızı kamuya duyurmamızın üzerinden yaklaşık 10 yıl geçtiği gün; gelecek yıl ise Let’s Encrypt’in ilk gerçek sertifikasını vermesinin 10. yılı olacak: https://letsencrypt.org/2015/09/14/our-first-cert/
    2015 Aralık’ta, yani bugüne göre yaklaşık 9 yıl önce, herkesin davetsiz kullanabileceği hale geldi: https://letsencrypt.org/2015/12/03/entering-public-beta/

    • Tam olarak 2015 Aralık’ta bunun gerçekleşmesi, tesadüfen benim için kusursuz bir zamandı.
      O sırada yalnızca alan adı alacak param vardı, SSL’e ayıracak param yoktu; ama sitenin SSL’e ihtiyacı vardı. Let’s Encrypt’in ücretsiz SSL’i sayesinde proje başarılı oldu.
  • Sertifikaya para ödediğimiz zamanlar daha dün gibi; daha kötüsü, hiç sertifika olmadan çalıştırdığımız zamanlar da vardı.
    Aradan şimdiden 10 yıl geçmiş olmasına inanamıyorum.

    • Hâlâ TLS karşıtı tuhaf tipler olmasına inanamıyorum.
  • Let’s Encrypt konusunda düşüncelerim biraz karışık.
    StartSSL gibi şüpheli şirketlere bel bağlamadan ücretsiz TLS sertifikası alabilmek iyi oldu. Bu sayede herhangi bir web sitesini HTTPS’ye taşımak kolaylaştı ve oturum açma gibi hassas verilerin şifrelenmemiş bağlantılar üzerinden gönderilmesi fiilen ortadan kalktı.
    Öte yandan, herhangi bir sertifika otoritesinin benim katılımım olmadan alan adım için sertifika verebildiği TLS sertifika güven modelinin temelden bozuk yapısını güçlendirdiğini düşünüyorum. CAA kayıtları veya sertifika şeffaflığı gibi birçok hafifletici önlem var, ama bunlar %100 çözüm değil. Let’s Encrypt olmasaydı, sertifika vermeyi DNSSEC+DANE gibi alan adı sahipliğini gerçekten belirleme yetkisine sahip aktörlerle sınırlayan daha iyi güven mekanizmalarını uygulamak için daha fazla motivasyon doğabilirdi.
    Siteleri TLS’ye taşıma sürecinde geriye dönük uyumluluğun bilinçli olarak yetersiz bırakılması da beni endişelendiriyor. Bu yalnızca TLS’yi bir kez açıp kapatma meselesi değil; protokollerin ve şifre takımlarının sürekli kullanımdan kaldırılması meselesi. Bankalar veya e-posta gibi güvenli olması gereken hedefler için bu makul, ama tarifler gibi statik ve önemsiz bilgileri görüntülemek için şart olduğunu düşünmüyorum. Operatörlerin reklam veya tuhaf şeyler enjekte etmesi sorununu düzenlemeyle çözmek bence daha iyi olur.

    • Let’s Encrypt olmasaydı daha iyi güven mekanizmalarını uygulama motivasyonu oluşurdu kısmına gelirsek; aksine Let’s Encrypt’in bu sorunları daha görünür kıldığını ve artık yetkili kişilerin gerçekten endişelenmesini sağladığını düşünüyorum.
      Sertifikalar acı verici halde kalmaya devam etseydi TLS’den daha iyi bir şeyin ortaya çıkması mümkün olabilirdi, ama öyle görünmüyor. Çünkü temel sorun hâlâ zor.
  • En çok minnettar olduğum şey ACME protokolü
    Let’s Encrypt’ten önce sertifikaları nasıl yenilediğimizi hatırlıyor musunuz? Özel anahtarlar ZIP eki olarak e-postayla gidip gelirdi. Güvenlik tiyatrosuna yakındı ve bildiğim kadarıyla birçok sertifika otoritesinde yaygın bir uygulamaydı. Let’s Encrypt’e teşekkürler

    • GlobalSign yenilemesini hâlâ elle tutup yönetiyorum
      CSR oluşturma sürecinde sunucuda yeni bir anahtar oluşturuyor, bunu sunucunun kendisinde çalıştırarak anahtarın sunucunun dahili deposundan çıkmamasını sağlıyoruz. CSR GlobalSign’a gönderiliyor, büyük şirket süreçleri nedeniyle üçüncü bir taraftan geçiyor ve birkaç gün sonra sertifikayı alıp sunucuya uyguluyoruz
      ACME kullanıp anahtarı bellek ramdisk’i vb. üzerinde tutmak isterdim ama petrol tankerinden daha az çevik bir şirkette çalışmanın dezavantajı bu
    • Sertifika İmzalama İsteği nereye gitti? Asıl amacı özel anahtarları alıp vermemekti
      Ondan önce birkaç TLS sertifikasına biraz dahil olmuştum ama en azından benim deneyimlediğim yerler CSR yöntemini zorunlu tutuyordu. Yine de gerçek dünyada bu korkunç uygulama benim bildiğimden daha yaygın olmuş olabilir
    • Let’s Encrypt kullansanız da kullanmasanız da, ZIP dosyasıyla gönderilen şey özel anahtar değil açık anahtar olmalı
    • Bazı kurulumlarımda hâlâ bu saçmalığı yapmak zorundayım
      Bulut ortamlarındaki load balancer’lar çoğu zaman letsencrypt gibi harici ACME sağlayıcılarıyla kolayca entegre olmuyor; dahili sağlayıcılar da alan adını kendilerine taşımanızı istiyor, bu da her zaman mümkün değil. Üstelik tüm bulut sağlayıcılarında bu özellik yok ve çoğu ACME’yi sonradan eklenmiş bir özellik gibi ele alıyor gibi
      terraform, cron işleri gibi şeylerle script’leri birbirine bağlayıp bir ölçüde hack’lemek mümkün ama ortalık kirleniyor. Hata modu, sertifika yenileme başarısız olunca sitenin durması; sertifika ömürleri çok kısaldığı için bu daha sık yaşanıyor. Bunu bizzat yaşadım
      Bu yüzden birkaç gün önce wildcard sertifika vergisini ödedim. Bundan kaçınmak için kafa patlatmamak adına birkaç yüz dolar verdim; içime sinmedi ama kendi zamanımla fiilen 2 saatten bile az edecek bir masraftan tasarruf etmek için günler harcamaya değmez. CSR çıkarma, sertifikayı alma ve ilgili load balancer’lara kopyalama 20 dakikalık iş
    • O sertifika otoritelerinden kaçı bugün hâlâ herkesin güven deposunda duruyor acaba?
  • Masaüstü sertifika dünyasında da böyle bir şey olsa keşke
    Microsoft mevcut gereksinimlerinde tamamen çılgın moda geçti ve onların sertifika satıcıları parmaklarını bile oynatmadan eskisinden daha fazla para kazanıyor
    Komik olan, tüm o güvenliğin, denetimin ve bitmek bilmeyen doğrulamaların hâlâ e-postayla gönderilmiş tek bir pasaport fotoğrafının üzerinde durması

  • Peter Eckersley (1978–2022), Let’s Encrypt’in kuruluşundaki çalışmaları nedeniyle ölümünden sonra Internet Hall of Fame’e dahil edildi
    Peter ve onun çok sayıdaki işbirlikçisi ve meslektaşı sayesinde internet daha iyi bir yer oldu

  • Tam da potansiyel müşterimiz olan Hollanda devlet kurumundan bir e-posta aldım; Letsencrypt kullanmamamızı istiyorlar
    Sertifika ücretini kendilerinin ödediği tarafı tercih ettiklerini söylüyorlar ama nedenini bilmiyorum. Görünüşe göre güvenmiyorlar

  • Pek çok kişi HTTPS sertifikalarının DNS injection gibi belirli saldırı türlerini mutlaka engellemediğini pek bilmiyor
    DNSPionage adlı saldırı kampanyasının saldırıda kullanmak üzere geçerli sertifikalar elde etmesine dair örnek <https://www.youtube.com/watch?v=exy5JwAU8qk> adresinde görülebilir
    Kısaca, HTTPS sertifikası verme süreci otomatikleştirilmiş durumda ve DNS güvenliğine dayanıyor; bu da DNSSEC ile sağlanıyor ama çoğu kişi uygulamıyor

    • Teknik olarak bu, sertifika otoritesine yönelik bir saldırı ve “bu kişinin gerçekten ilgili alan adı için sertifika çıkarma yetkisi var mı” şeklindeki yetki kontrolünü atlatmak
      Sorun şu ki burada CAA kaydı da yardımcı olmuyor. Çünkü A kaydını yanıltabiliyorsanız CAA kaydını da yanıltabilirsiniz. DNSSEC’in burada yardımcı olup olmayacağından emin değilim; DNS’i yeterince bilmiyorum
      Bir başka saldırı da IP hijacking. Bu durumda HTTP doğrulaması gibi yaygın ACME yöntemlerinden geçebilirsiniz, ancak CAA kaydını atlatamazsınız. A veya AAAA kaydımın işaret ettiği IP adresine sahip olsanız bile, CAA kaydımda letsencrypt onaylı yayıncı olarak yoksa letsencrypt üzerinden sertifika çıkaramazsınız
  • Let’s Encrypt muazzam bir başarı ve artık temel altyapı haline geldi
    Tek bir hata noktası olmaması için açık bir protokol üzerine kurulması akıllıca bir seçimdi; bir organizasyon ortadan kalksa bile fikrin yaşamaya devam edebilmesini sağlıyor
    Böyle yıldönümlerinin daha nice kez kutlanmasını dilerim