Alan adınız için bir SSL sertifikası düzenlendiğinde, bu işlem saniyeler içinde herkese açık bir deftere yazılır. İyi haber: bu defteri sadece saldırganlar değil, siz de izleyebilirsiniz. Markanız adına izinsiz, hatalı ya da sahte bir sertifika düzenlendiğinde bunu erken yakalamanın yolu Certificate Transparency’dir.
Bu yazı, CT’nin savunma tarafını ele alıyor. CT loglarından kendi alt alan adlarınızı keşfetme (saldırı yüzeyi haritalama) konusunu daha önce Certificate Transparency ve Subdomain Keşfi yazımızda işlemiştik; burada odak, izinsiz sertifika tespiti ve önlenmesi.
Certificate Transparency’nin Diğer Yüzü: Herkese Açık Defter
Certificate Transparency (CT), sertifika otoritelerinin (CA) düzenledikleri her TLS/SSL sertifikasını, herkesçe denetlenebilen, değiştirilemez (append-only) log sunucularına kaydetmesini zorunlu kılan bir sistemdir. Tarayıcılar (özellikle Chrome) CT’ye kaydedilmemiş sertifikalara güvenmez — yani pratikte her geçerli sertifika CT’de görünür.
Bu zorunluluk, sertifika dünyasını şeffaf kılar: bir saldırgan markanız adına sertifika alırsa, bu işlem de loglanır ve izlenebilir hâle gelir. CT, kötüye kullanımı engelleyemez ama görünür kılar — savunmanın temeli budur.
Markanız Adına İzinsiz Sertifika Nasıl Ortaya Çıkar?
“Benim alan adım için bana sormadan kim sertifika düzenleyebilir ki?” diye düşünebilirsiniz. Pratikte birkaç senaryo var:
- Gölge BT (shadow IT): Bir ekip, güvenlik biriminden habersiz yeni bir alt alan adı açıp Let’s Encrypt’ten sertifika alır. Kayıt dışı, izlenmeyen bir varlık doğar.
- Hatalı düzenleme (mis-issuance): Bir CA, doğrulama hatasıyla alan adınız için yetkisiz birine sertifika verir. Nadir ama yaşanmıştır.
- Ele geçirilmiş alt alan adı: Sarkan (dangling) bir DNS kaydını ele geçiren saldırgan, o alt alan adı için geçerli sertifika alıp HTTPS kilidiyle meşru görünür. (Bkz. Subdomain Takeover.)
- Benzer (typosquat) alan adları:
sirket-giris.com,sirkett.comgibi taklit alan adları için alınan sertifikalar — phishing kampanyalarının habercisi olabilir.
CT Loglarını İzleyerek Erken Uyarı Alın
Savunmanın ilk adımı görünürlük: alan adınız için hangi CA’ların, ne zaman, hangi alt alan adlarına sertifika düzenlediğini düzenli olarak gözden geçirin. Aradığınız sinyaller:
- Tanımadığınız bir alt alan adı için düzenlenmiş sertifika (kayıt dışı varlık).
- Kullanmadığınız bir sertifika otoritesinden gelen sertifika (CAA politikanız dışı düzenleme).
- Beklenmeyen bir zamanda, yoğun şekilde düzenlenen yeni sertifikalar.
SecRadar Sertifika Geçmişi (CT) aracı, alan adınız için CT loglarına düşmüş tüm sertifikaları — apex ve wildcard dahil — düzenleyen CA, geçerlilik tarihleri ve kapsadıkları alt alan adlarıyla birlikte listeler; son 30 gündeki düzenlemeleri ve olağandışı yoğunlukları ayrıca öne çıkarır. Böylece “bu sertifikayı biz mi aldık?” sorusunu hızlıca yanıtlarsınız.
Tek seferlik kontrol yetmez; ideal olan sürekli izlemedir. SecRadar izleme özelliği, alan adınız için yeni bir sertifika loglandığında size Telegram veya e-posta ile haber verir — izinsiz bir düzenlemeyi günler değil dakikalar içinde fark edersiniz.
CAA Kaydı ile İzinsiz Sertifika Düzenlenmesini Önleyin
İzleme tespit eder; CAA kaydı önler. CAA (Certification Authority Authorization), DNS’inize eklediğiniz ve “alan adım için yalnızca şu CA’lar sertifika düzenleyebilir” diyen bir kayıttır. CAA’ya uymak tüm CA’lar için zorunludur; politikanız dışındaki bir CA, sertifika düzenlemeden önce CAA kaydınızı kontrol edip işlemi reddetmek zorundadır.
Örnek bir CAA kayıt seti:
example.com. IN CAA 0 issue "letsencrypt.org"
example.com. IN CAA 0 issuewild "letsencrypt.org"
example.com. IN CAA 0 iodef "mailto:guvenlik@example.com"
- issue — normal sertifikaları yalnızca belirtilen CA düzenleyebilir.
- issuewild — wildcard (
*.example.com) sertifikaları için ayrı yetki; wildcard’ı tümüyle yasaklamak için";"kullanın. - iodef — CAA ihlali girişimi olduğunda CA’nın rapor göndereceği adres (e-posta/URL). İzinsiz düzenleme denemelerini bile haber alırsınız.
CAA kaydınızın doğru tanımlandığını ve sertifikanızla uyumlu olduğunu SSL Sorgulama aracıyla kontrol edebilirsiniz — sonuçlarda alan adınızın CAA politikası da gösterilir.
Pratik Kontrol Listesi
- Alan adınızın CT geçmişini Sertifika Geçmişi ile gözden geçirin; tanımadığınız alt alan adı veya CA var mı?
- DNS’inize CAA kaydı ekleyin; yalnızca kullandığınız CA’lara izin verin,
iodefile raporlama adresi tanımlayın. - Alt Alan Adı Bulucu ile envanterinizi çıkarın; gölge BT ve sarkan kayıtları temizleyin.
- Benzer/typosquat alan adlarını izleyin — markanıza ait olmayan ama sizi taklit eden sertifikalar phishing habercisidir.
- Tek seferlik değil, sürekli izleyin: yeni sertifika loglandığında uyarı alın.
Özetle
Certificate Transparency, sertifika ekosistemini şeffaf kılarak izinsiz düzenlemeleri görünür hâle getirir; CAA kaydı ise bu düzenlemeleri baştan engeller. İkisini birlikte kullandığınızda — izleme + önleme — markanız adına yetkisiz bir sertifikanın sessizce var olması neredeyse imkânsızlaşır.
Sertifikalarınızı Sertifika Geçmişi (CT) ve SSL Sorgulama araçlarımızla denetleyin. Güvenilir, doğru yapılandırılmış SSL sertifikaları için İHS Telekom SSL hizmetlerini inceleyebilirsiniz.