TLS sertifikası geçerlilik süresi resmen 47 güne indiriliyor

 (digicert.com)
16 puan yazan GN⁺ 2025-04-17 | 1 yorum | WhatsApp'ta paylaş
  • TLS sertifikası geçerlilik süresinin kısaltılması: CA/Browser Forum, TLS sertifikalarının geçerlilik süresini azaltma kararı aldı. 2029 yılına kadar sertifika geçerlilik süresi 47 güne düşürülecek
  • Otomasyonun önemi: Sertifika geçerlilik süresinin kısalması nedeniyle otomasyon zorunlu hale geliyor. Apple, otomasyonun sertifika yaşam döngüsü yönetimi için vazgeçilmez olduğunu savunuyor
  • Sertifika bilgilerinde güvenilirlik sorunu: Sertifika bilgilerinin güvenilirliği zamanla azaldığı için daha sık yeniden doğrulama gerekiyor
  • Sertifika iptal sistemlerinin sorunları: CRL ve OCSP kullanan sertifika iptal sistemleri güvenilir değil; daha kısa geçerlilik süreleri bunu hafifletebilir
  • Maliyet ve otomasyon çözümleri: Sertifika yenileme maliyeti yıllık abonelik temelinde şekilleniyor ve otomasyon sayesinde daha hızlı yenileme döngülerinin gönüllü olarak seçilmesi sık görülüyor

TLS sertifikası geçerlilik süresinin kısaltılması

  • CA/Browser Forum, TLS sertifikalarının geçerlilik süresini kısaltma kararını resmen aldı
  • Mart 2026'dan itibaren sertifika geçerlilik süresi 200 güne, 2027'de 100 güne ve 2029'da 47 güne düşecek
  • Alan adı ve IP adresi doğrulama bilgilerinin yeniden kullanım süresi de 2029'a kadar 10 güne indirilecek

47 gün ne anlama geliyor?

  • 47 gün; 1 ay (31 gün), 30 günün yarısı (15 gün) ve buna ek olarak 1 günlük paydan oluşuyor
  • Apple, otomasyonun sertifika yaşam döngüsü yönetimi için vazgeçilmez olduğunu vurguluyor

Sertifika bilgilerinde güvenilirlik sorunu

  • Sertifika bilgilerinin güvenilirliği zamanla azaldığı için daha sık yeniden doğrulama gerekiyor
  • Sertifika iptal sistemleri güvenilir değil ve daha kısa geçerlilik süreleri bunu hafifletebilir

Otomasyon gerekliliği

  • Sertifika geçerlilik süresinin kısalması nedeniyle otomasyon zorunlu hale geliyor
  • DigiCert, Trust Lifecycle Manager ve CertCentral üzerinden çeşitli otomasyon çözümleri sunuyor

Ek bilgiler ve blog aboneliği

  • Sertifika yönetimi, otomasyon ve TLS/SSL ile ilgili en güncel bilgiler DigiCert blogunda bulunabilir
  • Otomasyon çözümleri hakkında daha ayrıntılı bilgi için DigiCert ile iletişime geçilebilir

İlgili okumalar

1 yorum

 
GN⁺ 2025-04-17
Hacker News görüşleri

  • "Buradaki nihai amacın ne olduğunu merak ediyorum. Karşı görüşe katılıyorum. Neden 30 saniye olmasın diye düşünüyorum"

    • "TLS kullanımını artık mümkün olmayacak kadar her şeyi otomatikleştirmemiz gereken eşiği geçtiysek, neden 48 saatten uzun bir süre verildiğini merak ediyorum"
    • "Bu, pratik bir şeyden çok ideolojik bir görev gibi hissettiriyor. Her ay tüm altyapıyı değiştirmeye zorlamanın finansal/güç açısından bir avantajı olup olmadığını bilmiyorum"

  • "Büyük şirketlerle çalışırken, sona erme süresi giderek kısaldıkça çoğunun dahili olarak imzalanmış sertifikalar kullandığını görüyorum"

    • "Genel sertifikalar edge cihazları/load balancer'lar için kullanılıyor ama dahili servisler uzun sona erme süresine sahip dahili CA imzalı sertifikalar kullanıyor"
    • "Bunun sebebi, sertifika kullanımının zahmetli olduğu çok sayıda uygulama olması"

  • "Başka bir başlıkta söylendiği gibi, bu durum kendi alt alan adlarınız için kendi CA'nizi oluşturma ihtimalini ortadan kaldıracak"

    • "Sadece tarayıcıya gömülü büyük CA'ler istedikleri süreyle kendi CA sertifikalarına sahip olabilecek"
    • "Güvenlik açısından bu iki ucu keskin bir kılıç"
    • "Herkes sertifikaların sürekli değişmesine alışır ve sertifika pinning ortadan kalkarsa, Çin ya da bir şirket sahte sertifika verdiğinde bunu fark etmek zorlaşır"
    • "Kapalı sistemler yerine, dünyadaki tüm makinelerin sistem güncellemeleri için rastgele sertifika sunucularına neredeyse kalıcı olarak bağlı olması gerekecek"
    • "Digicert veya Letsencrypt sunucuları ya da 'sertifika güncelleme istemcisi' hack'lenirse veya bir güvenlik sorunu yaşarsa, dünyadaki sunucuların büyük kısmı çok kısa sürede tehlikeye girebilir"

  • "Makalede geçen şu açıklama beni güldürdü"

    • "47 gün keyfi bir sayı gibi görünebilir ama basit bir zincir var"
    • "47 gün = en fazla bir ay (31 gün) + 30 günün 1/2'si (15 gün) + 1 günlük pay"
    • "Yani 47 keyfi değil ama 1 ay, 1/2 ay ve 1 gün keyfi değil"

  • "Bir sertifika otoritesi olarak müşterilerin bize en sık sorduğu şeylerden biri, sertifikaları daha sık değiştirmenin ek maliyet yaratıp yaratmadığı"

    • "Cevap hayır. Maliyet yıllık abonelik temelinde belirleniyor"
    • "Digicert, bir dur. Fiyatlandırma yıllık abonelik temelinde. CA maliyeti aslında çok az artıyor ama zaten neredeyse sıfıra yakın"
    • "CA işletmek dünyadaki en kolay işlerden biri"

  • "İzlemeyi, SSL sertifikasının süresinin dolmasına 14 günden az kaldığında önemsiz bir 'Pazartesiye kadar bekleyebilir' uyarısı, dolmasına 48 saat kaldığında ise 'rahatsız etme' uyarısı gönderecek şekilde ayarladık"

    • "Birkaç yıl önce cert-manager garip bir duruma girdiği için, bir dahaki sefere bunu önceden fark etmek istiyorum"

  • "Keşke şifreleme ile kimlik, sertifikalarda bu kadar sıkı bağlı olmasaydı"

    • "Sertifika verirken şifrelemeyi her zaman önemsiyoruz ama bazen kimliği önemsemiyoruz"
    • "Sadece şifrelemeyi önemsediğimizde, kimliği önemsemenin ek yükünü de taşımak zorunda kalıyoruz"

  • "Bu yürürlüğe girerse tüm Chromecast'lerin yeniden çalışmayı durdurup durdurmayacağını merak ediyorum"

    • "Google'ın yılın başındaki Chromecast kesintisi sırasındaki tepkisine bakılırsa, Chromecast minimum ekiple yürütülüyor ve sertifika yenilemeyi otomatikleştirecek kaynakları olmayabilir"

  • "Otomasyon ve kısa süreli sertifikalarla sertifika otoritesi bir OpenID Provider'a benzemeye başlıyor"

    • "Güvenliğin önemli bir kısmı, sertifika otoritesinin alan adı sahipliğini nasıl doğruladığına odaklanıyor"
    • "İstemciler sertifikaya bel bağlamadan doğrulamayı doğrudan kendileri yapabilir belki"
    • "Örneğin, sunucuya bağlanırken istemci iki benzersiz değer gönderir ve sunucunun bir DNS kaydı oluşturması gerekir"
    • "Bu, DNS üzerinden doğrulama olur. DNS sistemini hızlandırmamız gerekir"

  • "Bu, iki ilginç alanda sertifika pinning'e dayanmayı bozacak"

    • "Mobil uygulamalar"
    • "Kurumsal API'ler. Birçok şirket sertifikaları pin'liyor ve biz sertifika rotasyonu yaptığımızda şikayet ediyorlar"
    • "47 günlük süre, onları pinning'i otomatik olarak döndürmeye zorlayacak"

  • "Buradaki varsayım, özel anahtarların, sertifika düzenlemek için kullanılan sırdan/mekanizmadan daha kolay ele geçirilebildiği"

    • "Bu kısımdan emin değilim"