OpenSSL'deki dev güvenlik açığı Heartbleed tehditinin tespitinin ardından, şirketler için ilk önlemlerden biri de alan adları ve servislerinin SSL sertifikalarını iptal etmeleri oldu. Ancak SSL sertifikalarının iptali dört dörtlük çalışmıyor ve internet alt yapısına ciddi bir maliyet getiriyor.
Heartbleed açığının henüz hasar tespitinin yapıldığı şu aşamada toplam maliyeti ön görmek mümkün değil ama maliyetin ne kadar büyük olabileceğiyle ilgili CloudFlare'in dün gelen açıklaması önemli ipuçları veriyor.
SSL sertifikalarını yenileme sürecini tamamladığını belirten CloudFlare'in verileri CRL aktiviteleri ve buna bağlı olarak gerçekleşen maliyetleri açıklıyor. Bunların detaylarına geçmeden önce CRL'le ilgili kısa bir bilgi vermek faydalı olabilir. Tarayıcılar HTTPS üzerinden bir websitesini ziyaret ettiklerinde, bir ya da iki sertifika iptal metodu denerler ve CRL (Certificate Revocation List) de iptal edilen sertifikaları izlemekte kullanılıyor. CRL'de tarayıcı, izin sertifikasını (CA) işaretleyip, o CA'e bağlı iptal edilen bütün sertifikaların listesini indiriyor.
Hepimiz zaman zaman tarayıcımızdan ziyaret etmek istediğimiz web sayfasının sertifikasının güvenli olup olmadığına dair bir mesaj almışızdır. Bu genellikle o sitenin sertifikasının iptal listesinde yer aldığında karşılaştığımız bir uyarı. Ancak CRL'in uzaması halinde, web sunucuları, indirme sırasında oldukça yavaşlayabiliyor hatta hata verebiliyor. Sonuç olarak da bu durum ciddi bir bant genişliği yükü getiriyor. Bu maliyetler, ziyaretçi websitelerinin de yavaşlamasına neden oluyor.
CloudFlare'in açıklamasında SSL'lerin yenilenme sürecinin tamamlandığı ve bunun ardından şirketin küresel CRL aktivitesinin görüntülendiği bir grafik paylaşılıyor. Grafikteki sıçrama Heartbleed güvenlik açığından kaynaklanıyor.
Grafikte görünmeyen şeyse, bant genişliğindeki sıçrayış. CloudFlare, bir numaralı CA ortağı Globalsign'ın CRL'inin Pazartesi günü yaklaşık 22 KB'tan 4.7 MB'a çıktığını belirtiyor. Globalsign CRL'ini indiren tarayıcıların internette yarattığı net trafik yaklaşık 40Gbps'a ulaşmış.Geniş bant küresel ortalama fiyatının Mbps başına 10 dolar olduğu varsayılarak yapılan hesaplamada, bu durum Globalsign'ın aylık bant genişliği faturasına toplam 400,000 dolarlık bir ek maliyet getiriyor. Açıkla birlikte Globalsign'ın CRL'indeki iptal edilen sertifika sayısı 1,492'den 133,243'e yükselmiş.
CloudFare'in notunda altı çizilen önemli bir nokta daha var, o da birçok CA'in bu ek yükü kaldırabilecek kapasitede olmadığı.
Heartbleed'le ilgili bir diğer ilginç gelişme ise OpenVPN sunucusunun da Heartbleed açığından etkilenmiş olduğunun doğrulanması. Mullvad Kurucu ortağı Fredrik Strömberg'in kendi kaleminden paylaştığı bilgide, Heartbleed açığını kullanarak bir OpenVPN sunucusundan ( Ubuntu 12.04 (VM using KVM) OpenVPN 2.2.1 OpenSSL 1.0.1-4ubuntu5.11) özel bilgileri sızdırmayı başarabildikleri söyleniyor.
İlk Yorumu yazmak ister misiniz?
Yorum Yazmak için Giriş Yap