Мониторингът на сертификати: задължителна практика за всяка сигурност
Невидимата повърхност за атака, за която не подозираш
Всеки път когато Certificate Authority (CA) издаде TLS сертификат за твоя домейн, той става публично видим. Това не е проблем — това е характеристика, наречена Certificate Transparency (CT). Но ето какво кара специалистите по сигурността да губят сънища: всеки може да поиска сертификат за твоя домейн, и ако някоя компрометирана или злонамерена CA направи точно това, може изобщо да не разбереш, докато не стане твърде късно.
Certificate Transparency е създаден именно за да реши този проблем с видимостта. По задължение, публично доверените CA-та трябва да изпращат всички издадени сертификати в публични CT логове. По този начин се създава проследима следа от издаването на сертификати. Въпросът не е дали съществуват CT логове — въпросът е дали ти ги наблюдаваш активно.
Какво точно показва търсенето в Certificate Transparency логовете
Когато търсиш в CT логовете, не просто търсиш сертификати, които ти си издал. Виждаш цялата картина:
DNS SAN (точно съвпадение) намира сертификати с идентично име на хост, включително буквални wildcard-и като *.example.com. Това е твоята базова проверка — ние ли наистина поискахме този сертификат?
DNS host coverage засича сертификати, които покриват твоя домейн директно, включително родителските wildcard домейни. Това помага да идентифицираш дали някой е получил wildcard сертификат, за който не би трябвало да има достъп.
DNS host и поддомейни навлиза по-дълбоко, показвайки сертификати, издадени за имена под твоя хост. Ако някой е успял тихомълком да получи сертификати за api.example.com, staging.example.com или други поддомейни, ще ги забележиш тук.
Скоростта има значение: новите сертификати се появяват в рамките на минути
Публично доверените TLS сертификати обикновено се появяват в CT логовете до 10 минути след издаването им. Това не е нощен批次 процес — става дума за близо реално време. За целите на мониторинга на сигурността тази скорост е от критично значение. Злонамереният актьор, който се опитва да получи сертификат за фишинг или man-in-the-middle атаки, разполага с тесен прозорец преди откриването да стане възможно.
Ето защо непрекъснатият мониторинг е по-добър от периодичните проверки. Твоят домейн може да бъде регистриран днес с издаден сертификат утре, и седмичен одит може изцяло да го пропусне.
Pre-certificates срещу Final Certificates: защо дедупликацията е важна
CT логовете не съхраняват само финални сертификати — те могат да съдържат и pre-certificates. Pre-certificate-ът е временен артефакт, който някои CA-та изпращат преди издаването на actualния сертификат. Един и същи логически сертификат може да се появи два пъти в CT логовете с различни двоични представяния.
Модерните инструменти за търсене в CT се справят с това чрез дедупликация на резултатите с помощта на хитра техника: сравняват TBS-no-CT SHA-256 хеша комбиниран с Issuer SPKI SHA-256 хеша. Частта "TBS-no-CT" се отнася до данните за подписване на сертификата след премахването на Certificate Transparency разширенията. Това позволява pre-certificates и съответстващите им финални сертификати да бъдат съпоставени, като ти дават един чист резултат за всеки реален сертификат вместо объркващи дубликати.
Практически приложения за разработчици и екипи по сигурността
За разработчици: Интегрирай CT мониторинга в скриптовете си за създаване на инфраструктура. Когато стартираш нови среди, автоматично проверявай дали в CT логовете за тези домейни се появяват само твоите очаквани сертификати.
За екипи по сигурността: CT логовете са безценни за threat intelligence. Фишинг кампаниите често използват сертификати, които изглеждат легитимни. Мониторингът на CT логове за typosquatting домейни (като examp1e.com вместо example.com) може да разкрие опити за имитиране на марката ти.
За стартъпи: Ако оперираш в конкурентна среда, CT мониторингът може да те предупреди за потенциално подозрително издаване на сертификати, което може да означава таргетиране или разузнавателна дейност.
Отвъд мониторинга: Управление на жизнения цикъл на сертификатите
CT търсенето е само част от цялостна стратегия за управление на сертификати. След като знаеш какви сертификати съществуват за твоите домейни, трябва да следиш датите на изтичане, прозорците за подновяване и да осигуриш правилно управление на ключовете. Пропуските в изтичането на сертификати причиняват реални производствени престои — и се случват по-често, отколкото който и да е би признал.
Модерните платформи за мониторинг на сертификати като CertObserver агрегират CT данни, проследяват риска от подновяване и предоставят аларми преди сертификатите да изтекат. Това превръща Certificate Transparency от пасивен лог в активна контрола върху сигурността.
Какво означава всичко това на практика
Certificate Transparency ти дава видимост върху издаването на сертификати, която доскоро беше невъзможна. Независимо дали си отделен разработчик с шепа проекти или екип по сигурността в голяма компания със стотици домейни, CT мониторингът трябва да е част от твоя арсенал за сигурност.
Добрата новина? Данните са публично достъпни, търсенето е бързо, а инструментите се подобряват непрекъснато. Няма извинения да летяш на сляпо относно издаването на сертификати.
Започни да следиш сертификатния си отпечатък още днес. Бъдещето ти аз ще ти благодари, когато не се налага да дебъгваш защо потребителите ти не могат да се свържат заради изтекъл сертификат, за който никой не е знаел, че съществува.
В NameOcean помагаме на разработчици и стартъпи да осигурят инфраструктурата си с интегрирано SSL управление и инструменти за сигурност на домейните. Защото да знаеш какво се случва със сертификатите ти не бива да изисква докторска степен по сигурност.