Google, HTTPS Sertifikalarının Ömrünü Bir Yıla Çekmek İstiyor

Son zamanlarda SSL sertifikası veren firmalarla tarayıcı üreticileri arasındaki ilişkinin oldukça gergin ve bu gerginlik Google’un SSL sertifikalarının kullanım süresini kısaltma teklifiyle birlikte iyice tavan yapmış görünüyor.

Google, HTTPS’nin şifrelenmiş trafiğini korumak için kullanılan SSL sertifikasının kullanım ömrünü iki yıldan bir yıla indirmek istiyor. Teklifi yapan kişi ise Yunanistan’da düzenlenen CA/B Forum’daki F2F toplantısına Google temsilcisi olarak katılan Ryan Sleevi oldu.

CA: SSL sertifikaları dağıtan şirketler.

B: Tarayıcı üreticileri.

Oylar

Sleevi’nin 2020’nin mart ayından itibaren başlayacak olan teklifine göre SSL sertifikasının ömrü 825 gün (kabaca 2 yıl 3 ay) yerine 397 gün (1 yıl 1 ay) olacak. Şu an için teklif oylanmadı ancak birçok tarayıcı tedarikçisi yeni SSL sertifikası kullanım süresi teklifini desteklediklerini bildirdi.

Diğer yandan sertifika otoritelerinin bu konuda çok da mutlu olduğunu söylemek mümkün değil. Son on yılda tarayıcı üreticileri SSL sertifikalarının kullanım sürelerini sürekli olarak kısalttı. İlk olarak sekiz yıldan beş yıla, ardından üç yıla en son ise iki yıla kadar indi.

Bundan önce son değişiklik Mart 2018’de meydana gelmiş, tarayıcı üreticileri SSL sertifikalarının ömrünü üç yıldan bir yıla indirmeye çalışmış ancak sertifika otoritelerinin baskıları sonrası iki yılda karar kılınmıştı. Görünüşe bakılırsa tarayıcı üreticileri asıl planlarından vazgeçmiş değiller.

Yeni teklife tepkiler

DigiCert’ün CA/B Forum’daki temsilcisi olan Timothy Hollebeek, kaleme aldığı blog yazısında şirketin yeni teklife karşı olan duruşunu kaleme aldı.

“Bu değişikliğin çok kısa zaman periyoduna sahip zararlı web sitelerine hiçbir etkisi yok. Birkaç gün ya da en fazla birkaç hafta sonra alan adı kara listeye ekleniyor ve saldırganlar ardından yeni bir alan adı ile yeni sertifikalar alıyorlar.”

Müşterilerinin maliyetlerini de oldukça artıracağını söyleyen DigiCert yöneticisi, standartların da bu kadar kısa süreli dönemler halinde değiştirilmemesi gerektiğini ifade etti.

SSL geri alma sorunu

Güvenlik araştırmacısı olan Scott Helme ise Twitter üzerinden Hollebeek’in blog yazısını eleştirerek kısa süreli SSL sertifikalarının kullanım ömrünün faydalarının zararlı sitelerle ya da şifre avcılığıyla bir alakası olmadığını, konunun SSL sertifikasını geri alma süreci olduğunu ifade etti.

Helme, bu sürecin sorunlu olduğunu ve kötü SSL sertifikalarının ihraç edildikten ve iptal edildikten sonra da yıllarca kullanılmaya devam edildiğini, bu yüzden kısa SSL sertifikalarının bu problemi çözebileceğini çünkü kötü SSL sertifikalarının aşama aşama daha hızlı biteceğini söyledi.

Kuralları tarayıcılar koyuyor

Sertifika sağlayıcıları ile tarayıcı üreticiler arasındaki savaşı yıllardır alttan alta zaten devam ediyordu. HTTPS ile alakalı haberler yapan bir blog olan HashedOut, bu teklifin aslında HTTPS alanını ve kalan her şeyi kimin kontrol ettiğini kanıtlamakla alakalı olduğunu iddia etti.

“Eğer ki sertifika şirketleri bunu kabul etmezse, tarayıcı üreticilerinin tek taraflı hareket edebilir ve değişikliği her türlü zorlayabilir. Teamüller olmadan olmaz ancak daha önce bir konuda böyle eşit bir dağılım olmamıştı. Eğer ki gerçekleşirse CA/B Forum’un olayının ne olduğunu sormak gerekir. Çünkü o noktada tarayıcı hüküm sürmeye başlıyor ve tüm bunlar bir saçmalıktan ibaret oluyor.”

Bu arada DigiCert, müşterileri arasında anonim bir araştırma gerçekleştiriyor ve bir yıllık SSL sertifikası ömrünün aktivitelerini nasıl etkileyeceğini soruyor. Eğer ki müşteriler bu konudan şikayetçi olursa (ki muhtemelen olacak) DigiCert, bu araştırma sonuçlarını Google’ın teklifine karşı kullanacaktır.