Küresel Web PKI Ekosisteminde Sertifika Şeffaflığı Analizi

1. Web PKI ve Şeffaflık İhtiyacı

Modern internet ekosistemi üzerinde gerçekleştirdiğimiz her türlü işlem arka planda Açık Anahtar Altyapısı adı verilen devasa bir güven zinciri üzerinden yürütülmektedir. Bu sistemin merkezinde Sertifika Yetkilileri yer alır. Geleneksel modelde tarayıcılar bu yetkililere tam ve mutlak bir güven duymaktaydı. Ancak bu güvenin suistimal edildiği veya teknik hatalarla sarsıldığı tarihsel vakalar sistemin zayıf noktalarını ortaya koymuştur. DigiNotar faciası bu konudaki en çarpıcı örnektir. 2011 yılında gerçekleşen bu olayda saldırganlar yetkili sistemlere sızarak Google ve Skype gibi dev platformlar adına sahte sertifikalar üretmiştir. Bu durum şeffaf bir denetim mekanizması olmadan internet trafiğinin nasıl manipüle edilebileceğini kanıtlamıştır.

Türkiye ölçeğinde ise TURKTRUST vakası teknik bir hatanın nasıl küresel bir güven krizine dönüşebileceğini göstermiştir. 2012 yılında hatalı bir yazılım göçü nedeniyle iki kuruluşa yanlışlıkla ara sertifika yetkisi verilmesi Google Chrome tarafından tespit edilene kadar aylar boyunca fark edilmemiştir. Bu tür olaylar Sertifika Şeffaflığı protokolünün doğuşuna zemin hazırlamıştır. Artık üretilen her sertifika kamuya açık ve değiştirilemez bir günlüğe kaydedilmek zorundadır. Bu sayede bir kurum kendi adına izinsiz bir sertifika üretildiğini saniyeler içinde fark edebilmektedir. Nesil Teknoloji olarak bizler siber güvenlik süreçlerimizde bu şeffaflık mekanizmalarını kurumsal savunma hattımızın bir parçası olarak değerlendirmekteyiz.

Sertifika Şeffaflığı sadece bir teknoloji değil aynı zamanda bir güvenlik felsefesidir. Bu felsefe güveni bir otoriteden alıp matematiksel algoritmalara ve toplumsal denetime devreder. Günümüzde kamu kurumlarından özel fabrikalara kadar tüm yapıların bu denetim mekanizmalarını yakından takip etmesi hayati önem taşımaktadır. Zira KVKK gibi yerel regülasyonlar verinin korunmasını emrederken bu verinin geçtiği tünellerin güvenliği yani TLS sertifikalarının doğruluğu doğrudan bu kapsama girmektedir.

2. Teknik Mimari ve Merkle Ağaçları

Sertifika Şeffaflığı sisteminin temelinde Merkle Ağacı adı verilen bir veri yapısı bulunur. Bu yapı sertifikaların eklemeli bir günlük sisteminde güvenli bir şekilde saklanmasını sağlar. Bir Merkle Ağacı her yaprak düğümün bir sertifika özetini içerdiği ikili bir ağaçtır. Üst düğümler ise altlarındaki düğümlerin özetlerinin tekrar özetlenmesiyle oluşturulur. En tepedeki kök özeti tüm ağacın o anki durumunu temsil eder. Bu yapının siber güvenlik açısından en büyük avantajı bir sertifikanın ağaçta olup olmadığını ispatlamanın logaritmik bir hızda yapılabilmesidir. Örneğin milyonlarca sertifika arasından birinin doğruluğunu kontrol etmek için sadece birkaç özet hesaplaması yeterli olmaktadır.

Sertifika yayınlama sürecinde İmzalı Sertifika Zaman Damgası mekanizması devreye girer. Bir yetkili kurum sertifika yayınlamadan önce bir ön sertifika oluşturur ve bunu günlük sunucusuna gönderir. Günlük sunucusu ise bu sertifikayı belli bir süre içinde sistemine ekleyeceğine dair bir söz verir. Bu sözün belgesi olan damga sertifikanın içine gömülür. Tarayıcılar bu damga olmayan sertifikaları güvensiz olarak işaretler. Bu süreçte kullanılan teknik protokoller olan TCP IP üzerinden yürütülen HTTP tabanlı API istekleri artık yerini daha modern olan Statik CT API yapılarına bırakmaktadır. Bu yeni yapı verilerin karo adı verilen küçük parçalar halinde sunulmasını sağlayarak sistem yükünü azaltmakta ve izleme hızını artırmaktadır.

Teknik protokollerin analizi yapıldığında Modbus veya DNP3 gibi endüstriyel kontrol sistemleri protokollerinin de artık güvenli katmanlara ihtiyaç duyduğu görülmektedir. Üretim tesislerinde kullanılan bu protokoller internete çıktığında TLS ile zırhlanmalıdır. Bu noktada devreye giren sertifikaların şeffaflığı üretim bandındaki bir cihazın trafiğinin dinlenmesini engellemek için kritik bir bariyerdir. Nesil Teknoloji uzmanları bu tür endüstriyel tesislerde yaptıkları sızma testlerinde sertifika yönetim süreçlerini en ince ayrıntısına kadar denetlemektedir.

3. Kurumsal İzleme ve Regülasyonlar

Kurumsal dünyada siber güvenlik yönetimi sadece bir savunma duvarı örmek değil aynı zamanda bu duvarın her bir tuğlasını sürekli kontrol etmektir. ISO 27001 ve NIST gibi küresel standartlar varlık yönetimini ve sürekli izlemeyi zorunlu kılar. Sertifika Şeffaflığı izleme stratejileri bu noktada kurumlara büyük bir güç sağlar. Bir kuruluş kendi alan adları için yayınlanan tüm sertifikaları düzenli olarak taramalıdır. Eğer kurumun bilgi teknolojileri ekibi tarafından talep edilmemiş bir sertifika sistemlerde görülürse bu durum bir gölge BT kullanımı veya doğrudan bir saldırı belirtisi olabilir.

Nmap ve Metasploit gibi araçlar sızma testi uzmanları tarafından açık kapıları bulmak için kullanılırken sertifika izleme araçları da aslında defansif bir istihbarat aracı gibi çalışır. Bir saldırgan bir kurumun sunucularını ele geçirmeden önce çoğu zaman bilgi toplama aşamasında sertifika günlüklerini tarayarak iç ağ yapılarını keşfetmeye çalışır. Bu nedenle sertifika günlüklerinde görünen alt alan adlarının yönetimi stratejik bir öneme sahiptir. Nesil Teknoloji olarak bizler müşterilerimize sunduğumuz güvenlik danışmanlığında bu günlüklerin sadece birer liste olmadığını aynı zamanda bir erken uyarı sistemi olduğunu vurgulamaktayız.

Regülasyonlar açısından bakıldığında Türkiye’deki Bilgi ve İletişim Güvenliği Rehberi kamu kurumları ve kritik altyapılar için sertifika yönetimini bir zorunluluk haline getirmiştir. KVKK kapsamında kişisel verilerin korunması bu verilerin iletildiği kanalların güvenliğini yani SSL ve TLS süreçlerinin doğru yönetilmesini kapsar. Sertifika Şeffaflığı bu yasal uyumluluk sürecinin teknik kanıtı niteliğindedir. Kurumlar kendi bünyelerinde kuracakları izleme sistemleri ile yetkisiz bir sertifika üretildiğinde anında alarm alabilir ve olay müdahale süreçlerini başlatabilirler.

4. Gelecek Teknolojiler ve PQC

Siber güvenlik dünyası duragan değildir ve her geçen gün yeni tehditlerle evrilmektedir. Kuantum sonrası kriptografi yani PQC gelecekteki en büyük değişimlerden biri olacaktır. Mevcut şifreleme algoritmalarının kuantum bilgisayarlar tarafından kırılabilecek olması sertifika yapılarını da kökten değiştirecektir. Yeni nesil kuantum güvenli imzalar çok daha büyük veri boyutlarına sahip olacağı için Sertifika Şeffaflığı sistemlerinin bu devasa veri yükünü nasıl taşıyacağı üzerine çalışmalar devam etmektedir. Nesil Teknoloji siber güvenlik laboratuvarlarında bu geleceğe dönük senaryolar üzerinde şimdiden çalışmalar yürütmekteyiz.

Apple ve Google gibi tarayıcı üreticilerinin sertifika ömürlerini radikal bir şekilde kısaltma kararı da bu ekosistemi doğrudan etkilemektedir. 398 günlük sertifika sürelerinin gelecekte 45 güne kadar inmesi planlanmaktadır. Bu durum manuel sertifika yönetiminin tamamen sona ereceği ve ACME gibi otomatik protokollerin her sistemde standart hale geleceği bir dönemi işaret etmektedir. Sertifika sürelerinin kısalması güvenlik risklerini azaltırken operasyonel karmaşıklığı artırmaktadır. Bu noktada otomatik izleme ve yönetim araçları kurumsal güvenliğin vazgeçilmez bir parçası olacaktır.

Nesil Teknoloji olarak TSE A Sınıfı sızma testi yetkimizle fabrikalardan kamu binalarına kadar geniş bir yelpazede bu geçiş süreçlerini yönetmekteyiz. Geleceğin dünyasında şeffaflık sadece sertifikalarda değil tüm siber güvenlik süreçlerinde temel bir standart haline gelecektir. Yapay zeka ajanlarının siber savunmada daha aktif rol almasıyla birlikte sertifika günlüklerinin analizi saniyeler içinde tamamlanacak ve insan hatasından arındırılmış bir güven zinciri oluşturulacaktır.

Sık Sorulan Sorular