Instagram je usvojio neviđen pristup web sigurnosti implementacijom svakodnevne rotacije TLS certifikata čija razdoblja valjanosti traju samo tjedan dana, prema nedavnoj tehničkoj analizi. Ova praksa predstavlja značajan odmak od industrijskih standarda, gdje certifikati obično ostaju valjani 90 dana ili duže, sugerirajući strateški pomak prema pojačanim sigurnosnim protokolima od strane platforme za dijeljenje fotografija u vlasništvu Mete.
Ključni zaključci:
Instagram svakodnevno mijenja TLS certifikate umjesto standardnih razdoblja od 90+ dana, koristeći certifikate s valjanošću od samo oko 8 dana.
Zamjene certifikata odvijaju se precizno između 16:00 i 17:00 UTC svakodnevno putem automatiziranih sustava.
instagram.com i www.instagram.com dobivaju pojedinačne certifikate unatoč mogućnosti wildcard certifikata.
Vrlo kratki životni vijekovi možda neće značajno poboljšati sigurnost ako privatni ključevi ostanu centralno pohranjeni.
Strategija svakodnevne rotacije certifikata
Istraživanje, provedeno putem automatiziranog praćenja certifikata tijekom nekoliko tjedana, otkrilo je da Instagram svakodnevno koristi certifikate s preostalih oko 8 dana do isteka i zamjenjuje ih kada preostane oko 7 dana valjanosti. Ovo stvara učinkovit ciklus rotacije “1 certifikat dnevno” koji djeluje s izuzetnom preciznošću. Korištenje certifikata odvija se dosljedno između 16:00 i 17:00 UTC, preciznije oko 25-30 minuta unutar tog vremenskog okvira. Prema izvješću Hereket, kako instagram.com, tako i www.instagram.com dobivaju odvojene certifikate, iako glavna domena koristi wildcard certifikate (*.instagram.com) koji bi teoretski mogli osigurati poddomene. DigiCert SHA2 High Assurance Server CA izdaje certifikate i koristi SHA256 algoritme potpisivanja. Podaci o certifikatima ekstrahirani tijekom razdoblja praćenja otkrili su dosljedne obrasce u serijskim brojevima i SHA-1 hashovima, pri čemu svaki certifikat zadržava standardni X.509 format. Certifikati uključuju sveobuhvatna Subject Alternative Names (SANs) koja pokrivaju razne Instagram domene, uključujući *.cdninstagram.com, *.igsonar.com, cdninstagram.com, igsonar.com i primarnu domenu instagram.com.
Sigurnosne implikacije
Ovaj pristup životnog vijeka certifikata ultra kratkog trajanja predstavlja potencijalni pomak u arhitekturi TLS sigurnosti. Tradicionalno upravljanje certifikatima oslanja se na duža razdoblja valjanosti kako bi se uravnotežila sigurnost i operativna učinkovitost, no Instagramova strategija čini se da daje prioritet smanjenju prozora ranjivosti u slučaju kompromitiranja privatnih ključeva. Strategija svakodnevne rotacije teoretski smanjuje utjecaj potencijalnog kompromitiranja ključeva, jer bi ukradeni certifikati imali ograničenu korist zbog svoje kratke preostale valjanosti. Međutim, stručnjaci za sigurnost napominju da ovaj pristup možda neće značajno poboljšati sigurnost ako su privatni ključevi pohranjeni na centraliziranim lokacijama, jer bi napadač koji dobije pristup trenutnim ključevima vjerojatno imao pristup cijeloj infrastrukturi za upravljanje ključevima. Implementacija sugerira da je Instagram razvio sofisticirane automatizirane sustave sposobne za besprijekornu implementaciju certifikata bez prekida usluge.
