Kısa-ömürlü VPN sertifikaları: 24 saat neden 12 aydan iyi

VPN client'ı bağlandığı sunucuya bir sertifika üzerinden güvenir. Bu sertifika sunucunun kim olduğunu söylediği şey olduğunu kanıtlar. Sertifika sızdırılırsa — çalınan laptop'tan, backup'tan, kötü yapılandırılmış S3 bucket'tan — attacker sunucuya yapışabilir. Birisi manuel olarak iptal edene kadar, bağlanan her client uyarısız MITM olur.

Çoğu tüketici VPN'i sertifikaları aylarca verir. Bazıları yıllarca. Fexyn 24 saatlik veriyor. Bu yazı 24'ün neden doğru sayı olduğunu açıklıyor.

Kimsenin konuşmadığı sertifika iptal sorunu

"Sızdırılırsa ne olur" sorusunun standart cevabı "iptal ederiz". Mekanizma Certificate Revocation List (CRL) veya modern kuzeni OCSP. Client CRL'yi kontrol eder, sertifikanın iptal edildiğini görür, güvenmeyi reddeder.

Pratikte, ikisi de güvenilmez.

CRL'ler yavaş yayılır. PKI yeni CRL'yi schedule'a göre yayınlar — genelde saatte veya günde bir. Client'lar kontroller arasında CRL'yi cache'ler. Iptal ile yayılma arasında her client iptal edilen sertifikaya hala güvenir.

CRL'ler büyük. Uzun-ömürlü PKI revokation'lar biriktirir. CRL bir sertifikanın yaşı dolana kadar sınırsız büyür.

OCSP bunu çözmek için tasarlandı ama OCSP responder'ları çöker. Responder erişilemez olduğunda client seçim önünde kalır: fail closed (bağlantıyı blok) veya fail open (sertifikaya yine güven). Çoğu fail open seçer — UX bozulduğunda. Yani pratikte OCSP de iptalleri güvenilir şekilde yakalamaz.

VPN PKI için: sertifikan sızar ve iptal edersen, her client'ın CRL'yi attacker kullanmadan önce yenilemesini ümit et.

Kısa-ömürlü sertifikalar problemi atlar

Let's Encrypt insight'ı: sertifikalar yeterince hızlı sona ererse, iptal etmen gerekmez. Önemli olmadan önce sertifika yok olur.

Let's Encrypt 90 günlük sertifika verir. Web ekosistemi ACME, certbot, automatic renewal — birisi 90 günün iptal'in özellikten dipnota geçmesi için yeterince kısa olduğuna karar verdiği için var.

VPN client'ları için daha kısa gidebilirsin. Trade-off: uzun (aylar/yıllar) düşük operasyonel yük, kötü blast radius. Kısa (saatler) yüksek operasyonel yük, düşük blast radius.

24 saat VPN client'ları için sweet spot. Bir sleep/resume döngüsünün renewal tetiklememesi için yeterince uzun. Çalınan kimlik bilgisinin çoğu attacker'ın bir şey yapmasından önce sona ermesi için yeterince kısa.

Fexyn nasıl uyguluyor

Fexyn HashiCorp Vault PKI'yı sertifika verici olarak çalıştırır. Yapılandırma:

Root CA offline, donanım token'larında. Çalışan altyapının herhangi bir compromise'ından erişilemez.
Intermediate CA online, server ve client sertifikalarını imzalar.
Client cert TTL: 24 saat.
Server cert TTL: 24 saat, otomatik rotate edilir.

Bağlandığında akış: client API'ya hesap kimlik bilgileriyle authenticate olur, API Vault'tan client için yeni sertifika ister, Vault yeni sertifikayı 24 saat geçerlilikte imzalar, client onu VPN tüneli için kullanır, sertifika sona erer, sonraki connect yeni issuance tetikler.

Sertifika diskte ömründen uzun durmaz.

Bunun adresslediği threat model'ler

Çalınan laptop. Hırsızın sertifikanın ölmesinden önce VPN'de senin gibi davranmak için 24 saatlik penceresi var.

Sınırda el konulması. Geniş el koyma yetkisi olan herhangi bir gümrüğe laptop ile sınır geçişi. Disk image alırlarsa veya kimlik bilgilerini çekerlerse — sonraki gün sona erer.

Compromise edilmiş backup. Backup çalınır ve attacker VPN credential'ını çıkarırsa, aynı hikaye.

Compromise edilmiş altyapı. Fexyn sunucusu sertifikası açığa çıkacak şekilde compromise edilirse, etki sertifikanın kalan ömrü ile sınırlı.

Bu olmadığı şey

Kısa ömürlü sertifikalar yerine geçmez:

Güçlü hesap auth. Parolan phish edilirse ve attacker Fexyn hesabına girerse, API'dan yeni sertifika alır.
Endpoint güvenliği. Compromise edilmiş laptop sertifikaları sessizce eksfil edebilir.
Tunnel dışında network seviyesinde compromise. ISP'n önceden trust edilmiş CA ile TLS interception yapıyorsa, farklı saldırı.

PKI bir spesifik failure mode'u sınırlar: sızdırılan kimlik bilgilerinin sonsuza kadar yararlı kalması. Anlamlı bir iyileşme, tam savunma değil.

Neden başka tüketici VPN bunu yapmıyor

Teknik olarak zor değil. Vault PKI open-source. ACME-style automation iyi belgelenmiş. Çoğu VPN sağlayıcısının uzun-ömürlü sertifikalarda kalmasının sebebi operasyonel: PKI altyapısında daha az yük, PKI kısa süre erişilemez olsa bile client'ların bağlanabilmesi, başarısız renewal nedeniyle "VPN bağlanmıyor" support ticket'larının az olması.

Bunlar gerçek endişeler. Çözmek renewal flow'unu client'a görünmez olana kadar inşa etmeyi gerektirir. Ortalama VPN ekibinin önceliklendirmediği mühendislik işi — çünkü marketing copy'si PKI hijyeni satmaz.

Fexyn önceliklendirdi çünkü daha yüksek-riskli pozisyondaki kullanıcılar için anlamlı bir güvenlik farkı: gazeteciler, aktivistler, hassas data işleyen uzaktan çalışanlar.

İlgili okuma

Fexyn'i 7 gün ücretsiz dene — ilk sertifikan 24 saat, hakkında düşünmen gerekmiyor.