A tanúsítvány-transzparencia monitorozás: a hiányzó láncszem a webes biztonságban
A láthatatlan támadási felület, amiről nem tudtál
Minden alkalommal, amikor egy Certificate Authority (CA) TLS tanúsítványt bocsát ki a domain-edhez, az nyilvánossá válik. Ez nem hiba — ez a Certificate Transparency (CT) szolgáltatás. Viszont itt van az, ami miatt a biztonsági szakemberek éjszakákon át forgolódnak: bárki kérhet tanúsítványt a domain-edhez, és ha ezt egy rosszindulatú vagy kompromittált CA megteszi, lehet, hogy soha nem szerzel róla tudomást — egészen addig, amíg már túl késő nem lesz.
A Certificate Transparency pont ezt a láthatósági problémát hivatott megoldani. A nyilvánosan megbízható CA-knak kötelező minden kibocsátott tanúsítványt benyújtaniuk a publikus CT logokba. Ez egy ellenőrizhető nyomvonalat teremt a tanúsítvány-kibocsátásról. A kérdés már nem az, hogy léteznek-e CT logok — hanem az, hogy aktívan figyeled-e őket.
Mit mutat valójában a CT keresés
Amikor CT logokban keresel, nem csak a saját tanúsítványaidat látod. A teljes képet kapod:
DNS SAN (pontos egyezés) megkeresi az azonos hostname-re kiállított tanúsítványokat, beleértve a literál wildcardokat is, mint a *.pelda.hu. Ez az alapvető ellenőrzés — mi magunk kértük ezt a tanúsítványt?
DNS host coverage azokat a tanúsítványokat is feltérképezi, amelyek a domain-edet közvetlenül fedik, beleértve a wildcard szülő domaineket. Így kiderül, ha valaki wildcard tanúsítványt szerzett be, amire nem lenne joga.
DNS host és aldomainek még mélyebbre megy, megmutatva az adott hostname alá kiállított tanúsítványokat. Ha valaki csendben szerez be tanúsítványokat a api.pelda.hu, staging.pelda.hu vagy más aldomainekre, itt fogod észrevenni.
A sebesség számít: az új tanúsítványok perceken belül megjelennek
A nyilvánosan megbízható TLS tanúsítványok általában 10 percen belül megjelennek a CT logokban a kibocsátás után. Ez nem éjszakai kötegelt feldolgozás — közel valós időben történik. A biztonsági monitoring szempontjából ez kulcsfontosságú. Egy rosszindulatú szereplőnek, aki phishing vagy man-in-the-middle támadáshoz próbál tanúsítványt szerezni, keskeny ablak áll rendelkezésére, mielőtt a detektálás lehetővé válna.
Ezért jobb a folyamatos monitorozás a időszakos ellenőrzésnél. A domain-ed ma regisztrálódhat, holnap kiállíthatnak rá tanúsítványt, és egy heti audit simán kihagyhatja.
Pre-certificate-ok kontra végleges tanúsítványok: miért fontos a deduplikáció
A CT logok nem csak a végleges tanúsítványokat tárolják — pre-certificate-okat is tartalmazhatnak. A pre-certificate egy ideiglenes artifaktum, amit egyes CA-k a tényleges tanúsítvány kibocsátása előtt nyújtanak be. Ugyanaz a logikai tanúsítvány kétszer is megjelenhet a CT logokban, eltérő bináris ábrázolással.
A modern CT kereső eszközök ezt deduplikációval kezelik egy ravasz technikával: a TBS-no-CT SHA-256 hash és az Issuer SPKI SHA-256 hash összehasonlításával. A "TBS-no-CT" rész a tanúsítvány to-be-signed adataira utal, miután a Certificate Transparency extensionöket eltávolították. Ez lehetővé teszi, hogy a pre-certificate-ok és a hozzájuk tartozó végleges tanúsítványok egyezzenek, így egy tiszta találatot kapsz valódi tanúsítványonként, nem pedig zavaros duplikátumokat.
Gyakorlati alkalmazások fejlesztőknek és biztonsági csapatoknak
Fejlesztőknek: Integráld a CT monitorozást az infrastruktúra provisioning szkriptjeidbe. Új környezetek létrehozásakor automatikusan ellenőrizd, hogy csak a várt tanúsítványaid jelennek meg a CT logokban azokhoz a domainekhez.
Biztonsági csapatoknak: A CT logok aranybánya a fenyegetés情报 (threat intelligence) szempontjából. A phishing kampányok gyakran olyan tanúsítványokat használnak, amelyek legitimnek tűnnek. A CT logok monitorozása typosquatting domainek után (mint p3lda.hu az pelda.hu helyett) felszínre hozhatja a márkamegjelölési kísérleteket.
Startupoknak: Ha versenyképes területen működsz, a CT monitorozás jelezheti a gyanús tanúsítvány-kibocsátást, ami célzást vagy felderítést jelezhet.
A monitorozáson túl: tanúsítvány életciklus kezelés
A CT keresés csak egy darabja egy robusztus tanúsítványkezelési stratégiának. Miután tudod, milyen tanúsítványok léteznek a domain-jeidhez, nyomon kell követned a lejárati dátumokat, a megújítási ablakokat, és biztosítanod kell a megfelelő kulcskezelést. A tanúsítvány lejárati hibák valós prod kimaradásokat okoznak — és gyakrabban történnek, mint bárki beismeri.
A modern tanúsítvány monitoring platformok, mint a CertObserver, összesítik a CT adatokat, követik a megújítási kockázatot, és riasztást adnak, mielőtt a tanúsítványok lejárnak. Ez átalakítja a Certificate Transparency-t passzív logból aktív biztonsági kontrollá.
A lényeg
A Certificate Transparency olyan betekintést ad a tanúsítvány-kibocsátásba, ami korábban lehetetlen volt. Akár egyéni fejlesztő vagy, aki néhány projektet kezel, akár vállalati biztonsági csapat, amely több ezer domaint véd, a CT monitorozásnak helye van a biztonsági eszközkészletedben.
A jó hír? Az adatok publikusan elérhetők, a keresések gyorsak, és az eszközök gyorsan fejlődnek. Nincs mentség arra, hogy vakon repülj a tanúsítvány-kibocsátás terén.
Kezdd el monitorozni a tanúsítvány-lábnyomodot már ma. A jövőbeli énod megköszöni, amikor nem azzal töltöd az idődet, hogy kideríted, miért nem tudnak a felhasználóid csatlakozni egy lejárt tanúsítvány miatt, amit senki nem ismert fel.
A NameOcean-nál segítünk a fejlesztőknek és startupoknak biztosítani infrastruktúrájukat integrált SSL kezeléssel és domain biztonsági eszközökkel. Mert nem kellene biztonsági PhD ahhoz, hogy tudd, mi történik a tanúsítványaiddal.