Let’s Encrypt, Internet Research Security Group (ISRG) tarafından işletilen ve dünya çapında web sitelerine bir milyardan fazla sertifika veren popüler, ücretsiz ve açık kaynaklı bir Sertifika Otoritesidir. Şirketin HTTPS’nin WEB genelinde benimsenmesine yaptığı muazzam katkıyı kimse inkar etmese de, Let’s Encrypt sertifikaları ne yazık ki hatalara veya kötü niyetli istismarlara karşı bağışık değildir. Son aksilik, üç milyondan fazla sertifikanın bir hatadan etkilenmesi ve iptal edilmek zorunda kalmasıyla ortaya çıktı.

Suçlu, bir kullanıcı SSL sertifikalarını her yenilediğinde, alan adı sahibinin kimin yenileyebileceği konusunda herhangi bir kısıtlama getirmediğinden emin olmak için bir CCA (Sertifika Yetkilisi Yetkilendirmesi) olup olmadığını kontrol eden koddur. Sonuç olarak, Let’s Encrypt’in otomatik kontrollerinin yalnızca bir alan adını taraması ve diğerlerini atlaması nedeniyle birden fazla alan adının sahipleri potansiyel siber saldırılara maruz kaldı.
Let’s Encrypt başlangıçta şu açıklamayı yaptı yaklaşık üç milyon sertifikayı iptal edecek Ancak şirket hızlı bir U dönüşü yaparak 1 milyondan fazla SSL sertifikasını aktif bırakmaya karar verdi. İşte IRSG’nin icra direktörünün konuyla ilgili söyledikleri:
“Ne yazık ki, 1 milyondan fazla sertifikanın iptal için belirlenen son tarihten önce değiştirilmeyeceğini düşünüyoruz. Potansiyel olarak bu kadar çok siteyi bozmak ve ziyaretçileri için endişe yaratmak yerine, bu sertifikaları son tarihe kadar iptal etmemenin İnternet’in sağlığı için en iyisi olduğuna karar verdik.”
Potansiyel olarak iptal edilmemiş sertifikaların süresinin yakında dolacağını belirtti.
“Let’s Encrypt yalnızca 90 günlük kullanım ömrüne sahip sertifikalar sunmaktadır, bu nedenle iptal edemeyeceğimiz potansiyel olarak etkilenen sertifikalar ekosistemi nispeten hızlı bir şekilde terk edecektir. Bunu yapmanın web kullanıcıları için gereksiz yere yıkıcı olmayacağından emin olduğumuzda daha fazla sertifikayı iptal etmeyi planlıyoruz.”
Let’s Encrypt hatası, bir felaket olmasa da, ücretsiz alan doğrulama sertifikalarının zayıflığını ve verimli ve saygın bir SSL sertifika yönetiminin önemini vurgulamaktadır. Yüzlerce veya binlerce sertifika söz konusu olduğunda, bunları manuel olarak güncellemek bir seçenek değildir. Sertifika Yetkilileri güvenilir bir yetkilendirme ve doğrulama süreci sağlamalı, şirketler ise SSL sertifikalarının verilmesini ve yönetimini otomatikleştiren araçlara yatırım yapmalıdır.
Bugün SSL Dragon’dan sipariş vererek SSL Sertifikalarında %10 indirimden yararlanın!
Hızlı düzenleme, güçlü şifreleme, %99,99 tarayıcı güvenilirliği, özel destek ve 25 günlük para iade garantisi. Kupon kodu: SAVE10



