bg-blog-articles

SSL Sertifikalarından Kaldırılacak Organizasyonel Birim Alanları

SSL’in 1994 yılında Netscape tarafından piyasaya sürülmesinden bu yana, dijital sertifikalar tüm Web ile birlikte büyümüştür. Denemeler ve hatalar, yenilikler ve ayarlamalar yoluyla, SSL sertifikaları en titiz güvenlik ihtiyaçlarını karşılamak için sürekli olarak geliştirildi.

SSL geçerliliğinin sadece bir yıla indirilmesi ve Genişletilmiş Doğrulama sertifikalarından yeşil adres çubuğunun kaldırılması, CA/Browser Forum’un siber tehditlerin önüne geçmek ve dijital şifrelemeyi daha öngörülebilir hale getirmek için uygulamaya koyduğu son değişikliklerden sadece birkaçıdır. Sertifika Yetkilileri dünyasında değişim değişmeyen tek şeydir.

SSL sertifikalarını bugün alın

Organizasyonel Birim (OU) alanı, özellikle de en başından beri SSL sipariş sürecinin bir parçası olduğu için, SSL güvenliği ile doğrudan ilişkilendirebileceğiniz bir şey değildir. Ancak şimdi, OU alanının zamanı sona eriyor ve CA’lar bunu Ağustos 2022’nin sonuna kadar kaldıracak. Peki, görünüşte iyi huylu olan bu alanın kaldırılmasının arkasındaki sebep nedir? Resmin tamamını görmek için, OU alanının başlangıçtaki amacının ne olduğunu öğrenelim.

Organizasyonel Birim alanları – kısa bir genel bakış

Her SSL sertifikası sipariş ettiğinizde, bir Sertifika İmzalama İsteği (CSR) oluşturmanız ve doğrulama sürecinin bir parçası olarak alanları iletişim verilerinizle doldurmanız gerekir. CSR, şirketiniz, ikamet ettiğiniz ülke ve güvence altına almak istediğiniz alan adı ile ilgili ayrıntıları içerir. Doldurmanız gereken alanlar arasında Organizasyonel Birim alanı da bulunmaktadır. Bu alana neredeyse istediğiniz her veriyi girebilirsiniz ve bu da onu belirsiz ve yanıltıcı yapan şeydir.

OU alanının asıl amacı, şirketlerin sertifika ve nasıl kullanılacağı hakkında ilgili verileri yerleştirebilecekleri bir yer tutucu alan olarak hareket etmekti. Yaygın bir uygulama, finans departmanının sertifikayı kimin satın aldığını bilmesi için faturalama için referans verilerini eklemektir.

Bu örneği takip edecek olursanız, OU alanına “IT” veya “Security” gibi bir şey yazarsınız. Ancak ülke adlarından çizgi film karakterlerine kadar istediğiniz her şeyi girmenize hiçbir engel yoktur. Şirketinizin merkezi ABD’deyse ancak sertifikaları uluslararası bir şube yönetiyorsa, “Fransa” veya “denizaşırı” gibi bir şey yazabilirsiniz. İşte burada OU dosyasının belirsizliği kullanıcıların kafasını karıştırabilir.

Diyelim ki şirketinizin müşterilerinden biri Delta Air Lines. Bunu OU alanına dahil ederseniz, bazı kullanıcılar sertifikanın kuruluşunuz yerine Delta Air Lines’a ait olduğunu düşünebilir. Bu uç bir örnek gibi görünse de, OU alanının isteğe bağlı doğası onu karışıklığa ve yanlış yorumlanmaya eğilimli hale getirir – modern siber güvenlikte kabul edilemez şeyler.

Potansiyel güvenlik boşlukları

SSL sertifikaları artık her tür web sitesi için bir gerekliliktir. Şirketler güvenlik ihtiyaçlarını karşılamak için yüzlerce sertifika dağıtıyor, ancak herkes en iyi SSL yönetim uygulamalarını takip etmiyor. Detectify Labs raporuna göre, bu sertifikaların dağıtımında “şirket verilerinin kötü niyetli aktörler tarafından ifşa edilmesine veya tehlikeye atılmasına yol açabilecek” tehlikeler vardır.

Detectify 900 milyondan fazla SSL sertifikasını analiz etmiş ve SSL ile ilişkili başlıca riskleri vurgulamıştır. OU alanı bağlamında aşağıdaki sonuç önemlidir:

“Analistler, yeni sertifikalandırılan alan adlarının büyük bir çoğunluğuna tanımlayıcı isimler verildiğini tespit etti. Bu kulağa zararsız gelebilir ama aslında bir ticari bilgi riski oluşturabilir.”

Sertifika geliştirme aşamasında verilirse, rakipler yeni şirketleri veya ürünleri pazara ulaşmadan önce baltalamak için yeterli zamana sahip olabilir. Ancak, tanımlayıcı ürünler yerine rastgele dizeler seçmiş olsanız bile, sipariş sürecinde gönderilen OU alanındaki rastgele bir bilgi parçası potansiyel olarak bazı sırlarınızı ele verebilir.

SSL Sertifikalarında %10 Tasarruf Edin

Veda etme zamanı

Siber tehditler gün geçtikçe artarken, CA’lar SSL sertifikalarını yöneten güvenlik protokollerine ince ayar yapmak ve güçlendirmek için fazla mesai yapıyor. Eski kavramlar ve unsurlar geçerliliğini yitirirken, “azı karar çoğu zarar” yaklaşımı, kafa karışıklığını ve bilgisayar korsanlarının yararlanabileceği potansiyel boşlukları ortadan kaldırmanın etkili bir yoludur.

Doksanlı yılların sonu ve kırklı yılların başında piyasada sadece bir avuç CA vardı ve SSL talep eden şirket sayısı önemli ölçüde daha azdı. Asıl amaç, mevcut birkaç CA’nın tarayıcılar tarafından manuel olarak kontrol edilmesi ve bunun sonucunda CA’ların her şeyi mümkün olduğunca güvenli bir şekilde yaptığına dair güvenin artmasıydı. Ancak SSL sertifikalarının yükselişiyle birlikte bu görev giderek daha zor hale geldi.

OU alanıyla ilgili sorun, sertifika yetkililerinin sertifikanın konu adı içinde sertifika konusunun kimliğini doğrulaması ve onaylaması gerektiğidir. Öte yandan, kuruluşun daha küçük bir parçası olmasına rağmen, OU alanı doğru bir tanımlama değildir. CA’ların kuruluşun daha küçük bölümünü tutarlı bir şekilde doğrulamak ve kimliğini ortaya koymak için hiçbir yöntemi yoktur.

OU sahasının kaldırılmasından sonra hayat

Peki, OU alanının kaldırılması şirketleri nasıl etkileyecek? Yaklaşan değişiklik hakkında bilmeniz gereken her şey burada:

  • Sertifika yetkilileri, endüstri standartlarına uyum sağlamak için Ağustos 2022 sonuna kadar tüm genel SSL sertifikalarında Organizasyonel Birim (OU) alanını kaldıracaktır.
  • Bu değişiklik, geçerli bir OU alanına sahip önceden düzenlenmiş sertifikaları etkilemeyecektir.
  • Bu, özel SSL sertifikalarını veya diğer SSL olmayan sertifika türlerini etkilemez.

Sonuç

Web teknolojisi baş döndürücü bir hızla gelişiyor ve bununla birlikte siber tehditler de daha sofistike hale geliyor. Web şifrelemesi söz konusu olduğunda, düzenleyici kurumlar proaktif olmalı ve düzenledikleri sistemlerdeki güvenlik açıklarını öngörmelidir.

Organizasyonel Birim alanı genel SSL sipariş sürecinin kritik bir parçası değildir ve bu nedenle potansiyel bir tehdit haline gelir. Bunu kaldırmak, karışıklığı önlemek ve doğrulama süresini iyileştirmek için basit bir yoldur.

Bugün SSL Dragon’dan sipariş vererek SSL Sertifikalarında %10 indirimden yararlanın!

Hızlı düzenleme, güçlü şifreleme, %99,99 tarayıcı güvenilirliği, özel destek ve 25 günlük para iade garantisi. Kupon kodu: SAVE10

A detailed image of a dragon in flight
Tarafından yazıldı

SSL Sertifikaları konusunda uzmanlaşmış deneyimli içerik yazarı. Karmaşık siber güvenlik konularını açık, ilgi çekici içeriğe dönüştürmek. Etkili anlatımlar yoluyla dijital güvenliğin geliştirilmesine katkıda bulunun.