Sözlük
PKI nedir (public key infrastructure)
Sertifika sistemleri, imzalama anahtarları ve trust root'ları — internetteki tarafların kimliklerini doğrulamasına izin verir.
Public key infrastructure — PKI — internetteki iki tarafın kriptografik sertifikalar üzerinden birbirinin kimliklerini doğrulamasına izin veren sistem. Tarayıcın bir banka websitesine bağlandığında PKI ona "bu sunucu gerçekten bankadır" diyen şey.
Mekanizma asimetrik kriptografi kullanır: herkesin görebileceği bir public key ve sadece sahibinin sahip olduğu bir private key. PKI o anahtarları anlamlı kılan imzalar ve güven zinciri.
PKI nasıl yapılandırılmış
Üç katman, yukarıdan aşağıya:
- Root certificate authority. Az sayıda kuruluş (DigiCert, Let's Encrypt, Sectigo, vb.) tarayıcılar ve işletim sistemleri tarafından varsayılan güvenilen root anahtarları tutar. Root'lar intermediate sertifikaları imzalar.
- Intermediate CA'lar. Günlük imzalama intermediate'lerle olur. End-entity sertifikaları imzalarlar. Bir intermediate ele geçirilirse sadece onun tarafından imzalanan sertifikalar etkilenir; root güvende kalır (offline, ideal olarak donanım üzerinde).
- End-entity sertifikaları. Gerçek sunuculara ve cihazlara verilen şey. Bir hostname'e, bir son tarihe ve güvenilen bir root'a giden zincire sahiptir.
Bir siteyi ziyaret ettiğinde tarayıcın sertifika zincirini kontrol eder: end-entity → intermediate → root. Her imza doğrulanır ve root trust store'daysa zincir iyidir. Bir şey başarısız olursa tarayıcı seni uyarır.
Yanlış gidebilecekler
Birkaç yaygın başarısızlık modu:
- Ele geçirilmiş intermediate. CA'nın intermediate anahtarı sızarsa atak yapanlar herhangi bir domain için sertifika verebilir. Bu ticari CA'lara oldu. Tarayıcılar etkilenen intermediate'e güvenmemeyi seçerek tepki verir.
- Ele geçirilmiş root. Felaket. Saldırgan ellerinde güvenilen bir root anahtarı her şeyi imzalayabilecekleri anlamına gelir. Root'lar tam olarak bunu önlemek için donanım token'larında offline tutulur.
- Yanlış verilmiş sertifika. Bir CA bir domain için sertifikayı sahip olmaması gerekene yanlışlıkla verir. Certificate Transparency log'ları bunu detect edilebilir kılar ama önlenebilir değil.
Her biri kırık sertifikanın revoke edilmesini gerektirir. Revoke meşhur şekilde yavaş — neden için kısa ömürlü sertifikalar yazısına bak.
Bir VPN'in içinde PKI
VPN sağlayıcın kendi PKI'sını çalıştırır. Yapı benzer:
- Bir root CA (offline, donanım üzerinde) intermediate'leri imzalar.
- Bir intermediate CA (online) sunucu ve istemci sertifikaları imzalar.
- Her VPN sunucusu ve her doğrulanmış kullanıcı için end-entity sertifikalar.
Sunucular bu sertifikalar üzerinden istemcilere kimliklerini kanıtlar. İstemciler kimliklerini (ve yetkilendirmelerini) aynı şekilde kanıtlar. HTTPS'in kullandığı aynı güven mekanizması, VPN oturumuna uygulanmış.
Fexyn bir HashiCorp Vault PKI çalıştırır. Donanım üzerinde offline root. Online intermediate hem sunucu hem istemci sertifikaları imzalar. Verilen sertifika TTL'si 24 saat — tek bir sleep/resume tetiklemeyecek kadar uzun, çalınmış bir credential'ın çoğu saldırgan onu kullanmadan önce sona erecek kadar kısa.
Bunu 12 ay veya daha uzun istemci sertifika veren tüketici VPN'leriyle karşılaştır. Onlardan biri sızarsa manuel revoke tamamlanana kadar geçerli — ve revoke yayılması güvenilmez. 24 saat sertifikalar bu sorunu kendi-kendine düzelten yapar.
Kullanıcılar için ne anlama gelir
PKI ile doğrudan etkileşime girmiyorsun; VPN istemcisi halleder. Ama PKI'ın tasarımı bir şey yanlış giderse blast radius'u belirler. Sızdırılmış bir Fexyn sertifikası 24 saatte geçersiz. 12 aylık rotasyonlar çalıştıran rakipten sızdırılmış bir sertifika yıllık bir sorundur.
Daha fazlası Kısa ömürlü sertifikalar ve güvenlik genel bakışında.
Fexyn'i 7 gün ücretsiz dene — ilk sertifikan 24 saat yaşar.
İlgili terimler
Fexyn'i 7 gün ücretsiz dene
Windows uygulaması Beta'da mevcut. WireGuard, VLESS Reality ve OpenVPN — tarama geçmişi, DNS sorgusu veya trafik içeriği logları tutulmaz.
Fiyatlandırma