Sertifika Şeffaflığı (CT Log) Sorgulama Nedir?
Sertifika Transparency (CT) log sorgulama; bir alan adı için herkese açık loglara kaydedilmiş tüm SSL sertifikalarını ve keşfedilen subdomain'leri listeler.
Certificate Transparency Nedir?
CT, düzenlenen her SSL sertifikasının herkese açık, denetlenebilir loglara yazıldığı bir sistemdir. Bu sayede alan adınız için yetkisiz (rogue) bir sertifika düzenlenirse fark edilebilir. Ayrıca bir domainin geçmiş sertifikalarını ve alt alan adlarını ortaya çıkarır.
CT Logları Nasıl Sorgulanır?
Alan adını girin; SecRadar crt.sh üzerinden toplam sertifika sayısını, son 30 gündeki düzenlemeleri, farklı sertifika otoritelerini (CA) ve CT loglarından çıkarılan benzersiz subdomain listesini gösterir. Wildcard sertifikalar ayrıca işaretlenir.
Şüpheli Sertifika Görürsem Ne Yapmalıyım?
Beklenmedik bir CA veya çok sayıda yakın tarihli sertifika, yetkisiz düzenleme işareti olabilir. CAA kaydı ekleyerek yalnızca onaylı CA'ların sertifika düzenlemesine izin verin ve şüpheli sertifikayı düzenleyen CA'ya iptal için başvurun.
CT Logları Teknik Olarak Nasıl Çalışır?
Certificate Transparency, yalnızca ekleme yapılabilen (append-only), kriptografik olarak doğrulanabilir herkese açık log sunucularına dayanır. Bir CA bir sertifika düzenlediğinde, onu bir veya daha fazla CT loguna gönderir ve karşılığında bir SCT (Signed Certificate Timestamp) alır. Loglar Merkle ağacı yapısı kullanır; böylece hiçbir kayıt geriye dönük silinemez veya değiştirilemez. Bu sayede herkes, herhangi bir alan adı için düzenlenmiş tüm sertifikaları denetleyebilir. SecRadar bu logları (crt.sh ve fallback olarak Certspotter üzerinden) sorgular.
SCT (Signed Certificate Timestamp) Nedir?
SCT, bir CT logunun 'bu sertifikayı belirtilen zamanda log'a ekledim' anlamına gelen imzalı kanıtıdır. Modern tarayıcılar (Chrome başta olmak üzere) bir sertifikaya güvenmek için yeterli sayıda geçerli SCT görmek ister; SCT'si olmayan sertifikalar güvenilmez sayılabilir. SCT'ler sertifikaya gömülü, bir TLS uzantısıyla veya OCSP üzerinden sunulabilir. Yani CT artık isteğe bağlı değil, pratikte zorunludur — bu da onu eksiksiz bir denetim kaynağı yapar.
CT ile Sahte (Rogue) Sertifika Nasıl Tespit Edilir?
Bir saldırgan ya da hatalı bir CA, markanız adına izinsiz bir sertifika düzenlerse, bu sertifika da CT loglarına yazılmak zorundadır — ve böylece görünür hâle gelir. Logları düzenli izleyerek alan adınız için beklemediğiniz bir CA'dan veya tanımadığınız bir alt alan adı için çıkan sertifikaları erkenden yakalayabilirsiniz. Bu, ortadaki-adam (MITM) ve oltalama altyapılarının kurulum aşamasında fark edilmesini sağlayan güçlü bir savunmadır. SecRadar son 30 gündeki düzenlemeleri ayrıca vurgular.
CT ve CAA Kaydı Birlikte Nasıl Çalışır?
CAA ve CT birbirini tamamlar: CAA (DNS kaydı) izinsiz sertifika düzenlenmesini önlemeye çalışır (önleyici), CT logları ise yine de düzenlenmiş her sertifikayı görünür kılar (tespit edici). CAA'da yalnızca kullandığınız CA'ları yetkilendirir, CT izlemesiyle de kuralın ihlal edilip edilmediğini doğrularsınız. İkisini birlikte kullanmak, sertifika güvenliği için katmanlı bir yaklaşım oluşturur. CAA yapılandırmasını SSL Sorgulama aracında, izinsiz sertifika savunmasını ise ilgili blog rehberimizde ele aldık.
CT Loglarını Subdomain Keşfi İçin Kullanma
CT logları, bir kurumun alt alan adlarını bulmak için en zengin pasif kaynaklardan biridir: HTTPS kullanan her alt alan adının neredeyse kesinlikle bir CT kaydı vardır ve loglar SAN alanlarındaki tüm adları içerir. Bu yüzden sertifika geçmişi sorgusu, sözlük tabanlı tarayıcıların kaçırdığı özgün isimli alt alan adlarını da ortaya çıkarır. En geniş kapsam için bu aracı Alt Alan Adı Bulucu ile birlikte kullanmanızı öneririz.
Yeni Sertifika Düzenlendiğinde Uyarı Alma
SecRadar'da bir alan adını kaydedip CT izlemesini açtığınızda, alan adınız için CT loglarında yeni bir sertifika belirdiğinde e-posta veya Telegram ile bilgilendirilirsiniz. Yenilemeler gürültü yaratmasın diye akıllıca filtrelenir; asıl amaç, beklenmedik bir CA'dan veya tanımadığınız bir ad için çıkan olası yetkisiz düzenlemeyi anında haber vermektir. Böylece markanıza yönelik oltalama hazırlıklarını kurulurken yakalayabilirsiniz.