Instagram je usvojio izuzetno neobičan pristup web sigurnosti implementacijom svakodnevnog rotiranja TLS certifikata koji imaju rok trajanja od samo nedjelju dana, prema nedavnoj tehničkoj analizi. Ovakva praksa predstavlja značajno odstupanje od industrijskih standarda, gdje certifikati obično ostaju važeći 90 dana ili duže, što ukazuje na strateški pomak prema poboljšanim sigurnosnim protokolima od strane Meta-ine platforme za dijeljenje fotografija.
Ključni zaključci analize su da Instagram svakodnevno mijenja TLS certifikate umjesto uobičajenih perioda od 90+ dana, koristeći certifikate sa rokom važenja od otprilike 8 dana. Promjene certifikata se odvijaju precizno između 16:00 i 17:00 UTC svakodnevno putem automatizovanih sistema. Instagram.com i www.instagram.com dobijaju pojedinačne certifikate uprkos mogućnosti korištenja wildcard certifikata. Iako ovaj pristup sa izuzetno kratkim životnim vijekom certifikata može smanjiti potencijalni period ranjivosti, stručnjaci napominju da možda značajno ne poboljšava sigurnost ako privatni ključevi ostanu centralizovano pohranjeni.
Istraživanje, provedeno tokom nekoliko sedmica kroz automatsko praćenje certifikata, otkrilo je da Instagram primjenjuje certifikate s preostalim rokom važenja od približno 8 dana i zamjenjuje ih svakodnevno kada ostane oko 7 dana važenja. Ovo stvara efektivni ciklus rotacije “1 certifikat dnevno” koji funkcioniše sa izvanrednom preciznošću. Postavljanje certifikata se dosljedno odvija između 16:00 i 17:00 UTC, preciznije oko 25-30 minuta unutar tog vremenskog okvira. Prema izvještaju Hereketa, i instagram.com i www.instagram.com dobijaju odvojene certifikate, iako glavni domen koristi wildcard certifikate (*.instagram.com) koji bi teoretski mogli osigurati poddomene. DigiCert SHA2 High Assurance Server CA izdaje ove certifikate i koristi SHA256 algoritme potpisivanja. Podaci certifikata prikupljeni tokom perioda praćenja otkrili su dosljedne obrasce u serijskim brojevima i SHA-1 heševima, pri čemu svaki certifikat održava standardni X.509 format. Certifikati uključuju sveobuhvatna alternativna imena subjekta (SANs) koja pokrivaju razne Instagram domene, uključujući *.cdninstagram.com, *.igsonar.com, cdninstagram.com, igsonar.com i primarni instagram.com domen.
Ovaj pristup sa izuzetno kratkim životnim vijekom certifikata predstavlja potencijalni pomak u arhitekturi TLS sigurnosti. Tradicionalno upravljanje certifikatima se oslanja na duže periode važenja kako bi se postigla ravnoteža između sigurnosti i operativne efikasnosti, ali Instagramova strategija čini se daje prednost minimiziranju prozora ranjivosti u slučaju kompromitovanja privatnih ključeva. Dnevna strategija rotacije teoretski smanjuje utjecaj potencijalnog kompromitovanja ključeva, jer ukradeni certifikati ne bi imali značajnu korist zbog svog kratkog preostalog roka važenja. Međutim, sigurnosni stručnjaci napominju da ovaj pristup možda neće značajno poboljšati sigurnost ako su privatni ključevi pohranjeni na centraliziranim lokacijama, jer bi napadač koji dobije pristup trenutnim ključevima vjerovatno imao pristup cijeloj infrastrukturi za upravljanje ključevima. Implementacija ukazuje na to da je Instagram razvio sofisticirane sisteme automatizacije sposobne za besprijekorno postavljanje certifikata bez prekida usluge.
