[GÜNCELLENDİ] Milyonlarca SSL sertifikasının iptal edilmesi ve yeniden düzenlenmesi gerekiyor. İnternet ve PKI bunun için tasarlanmamıştır. Sıkışıklık hakim olacak.
Uyarı: Planlanmamış inşaat, İnternet trafiğini belirsiz bir süre boyunca yavaşlatacaktır. İletişim için ekstra zaman planlayın.
Heartbleed yüzünden pek çok kötü şey olacak. Neredeyse herkesi etkileyecek olanlardan biri, milyonlarca SSL/TLS dijital sertifika ve anahtarını iptal etme ve yeniden yayınlama ihtiyacından kaynaklanan genel performans yavaşlamasıdır. Bu tür iptallerin hacmi artıyor Heartbleed'in dünyaya duyurulduğu günlerden bu yana.
[GÜNCELLEME: İnternet Fırtınası Merkezi'nden yeni bir rapor Globalsign'ın tek bir CRL'sinden 50.000'den fazla benzersiz iptalde ani bir artış olduğunu gösteriyor.]
Dünya çapında web sitelerini ve sertifikaları izleyen araştırma firması Netcraft, sertifika iptali sayısının 80.000 olduğunu ve daha yeni başladığını söylüyor. Çok büyük SSL sağlayıcıları Akamai gibi müşteri sertifikalarının toplu iptalini planlıyor.
SSL/TLS sertifikaları internet tarafları tarafından birbirlerinin kimliklerini kanıtlamak için kullanılır. Güvenli web sitelerinden çok daha fazlası için kullanılırlar: Birçok VPN, istemcilerin ve sunucuların birbirlerine kimlik kanıtlaması için SSL'ye güvenir.
Bir sertifika güvenilmez hale geldiğinde ve iptal edildiğinde, sertifika için benzersiz bir tanımlayıcı, CRL (Sertifika İptal Listesi) adı verilen bir dosyaya eklenir. Her sertifika, belirli bir CRL'nin iptal edilip edilmediğini kontrol etmek için bir alan içerir.
Bu süreçte iki sorun vardır: CRL'ler hantal bir boyuta ulaşabilir, bu da hem istemci hem de sunucu için performans sorunu yaratır; ve birçok müşteri iptali kontrol etme konusunda pek iyi değil. Yakındaki resmi, Google Chrome Ayarlarından bir ekran görüntüsünü düşünün: Chrome, varsayılan olarak, belki de bir performans ölçüsü olarak, sertifika iptalini kontrol etmez. Aslında bunlar sertifika iptaliyle ilgili sorunlardan sadece ikisi. Gerçek dünyada başka birçok açıdan başarısız olur.
Aşağıdaki grafik İnternet Fırtına Merkezi'nden alınmıştır. CRL büyümesinin bir ölçüsünü gösterir. Aslında "CRL'nin on altı farklı CA'yı saydığını" gösteren grafiğin, 1 Nisan 2014", CRL'lerin boyutunu veya sayısını ya da bunun kişi başı büyüme ölçüsü olup olmadığını gösterir. gün. Ama kesinlikle büyüyor. Netcraft, Heartbleed'den etkilenen tüm sertifikaların iptal edilmesi durumunda CRL'lerin yaklaşık %35 oranında artacağını söylüyor.
CRL'lerin sınırlamaları nedeniyle OCSP (Çevrimiçi Sertifika Durum Protokolü) adı verilen yeni bir standart ortaya çıktı. bir müşterinin CA'dan tek bir durumun durumunu kontrol edebilmesi için yıllar önce geliştirildi. Sertifika. Kontrollerin teker teker yapıldığı normal durumlarda bu yaklaşım, ağ bant genişliğinden büyük oranda tasarruf sağlar. Çok sayıda iptalin gerçekleştirildiği bir dönemde OCSP'ye güvenmek, CA sistemleri üzerinde büyük bir yük oluşturabilir. Not: Firefox artık CRL'leri hiçbir şekilde desteklemiyortamamen OCSP'ye güveniyor.