Bir kurumun internete açık tüm alt alan adlarını (subdomain) bilmek, hem saldırganlar hem de savunmacılar için kritiktir. Certificate Transparency (CT) logları, bu keşfin en güçlü ve pasif kaynağıdır.
Certificate Transparency Nedir?
CT, düzenlenen her SSL sertifikasının herkese açık, denetlenebilir loglara kaydedildiği bir sistemdir. Amacı, yetkisiz (rogue) sertifika düzenlemelerini görünür kılmaktır. Yan etki olarak, bir alan adı için sertifika alınmış tüm subdomain’ler bu loglarda ortaya çıkar.
Subdomain Keşfi Neden Önemli?
Unutulmuş bir test sunucusu (test.site.com), eski bir panel (admin.site.com) veya yedek sistem, çoğu zaman güncellenmediği için saldırının en zayıf halkasıdır. Saldırganlar önce CT loglarından subdomain listesi çıkarır. Savunmacı olarak siz de aynı listeyi çıkarıp bu varlıkları kapatabilir veya güncelleyebilirsiniz.
CT Loglarını Nasıl Sorgularsınız?
Sertifika Geçmişi (CT) aracımız bir alan adı için toplam sertifika sayısını, farklı sertifika otoritelerini ve loglardan çıkarılan benzersiz subdomain listesini gösterir. Wildcard sertifikalar ayrıca işaretlenir.
Saldırı Yüzeyini Daraltmak
- Keşfedilen subdomain’lerden kullanılmayanları kapatın.
- Beklenmedik bir CA tarafından düzenlenmiş sertifika görürseniz inceleyin.
- CAA kaydı ekleyerek yalnızca onaylı CA’ların sertifika düzenlemesine izin verin.