Instagram je usvojio neviđen pristup mrežnoj sigurnosti uvođenjem svakodnevne rotacije TLS certifikata koji održavaju periode valjanosti od samo jedne sedmice, prema nedavnoj tehničkoj analizi. Ovakva praksa predstavlja značajno odstupanje od industrijskih standarda, gdje certifikati obično ostaju važeći 90 dana ili duže, sugerirajući strateški pomak ka pojačanim sigurnosnim protokolima od strane Meta-ine platforme za dijeljenje fotografija.
Ključni zaključci iz analize pokazuju da Instagram mijenja TLS certifikate svakodnevno umjesto standardnih perioda od 90+ dana, koristeći certifikate sa valjanošću od otprilike 8 dana. Ove promjene certifikata odvijaju se precizno svakodnevno između 16:00 i 17:00 UTC putem automatizovanih sistema. Zanimljivo je da instagram.com i www.instagram.com dobijaju zasebne certifikate uprkos mogućnosti korištenja wildcard certifikata. Ipak, stručnjaci napominju da ultra-kratki životni ciklusi možda neće značajno poboljšati sigurnost ukoliko privatni ključevi ostanu centralizovano pohranjeni.
Istraživanje, provedeno kroz višesedmično automatsko praćenje certifikata, otkrilo je da Instagram primjenjuje certifikate s preostalom valjanošću od otprilike 8 dana i zamjenjuje ih svakodnevno kada preostane oko 7 dana valjanosti. Ovo stvara efikasan ciklus rotacije “1 certifikat po danu” koji radi s izuzetnom preciznošću. Implementacija certifikata se dosljedno odvija između 16:00 i 17:00 UTC, preciznije u periodu od 25-30 minuta unutar tog sata.
Prema izvještaju objavljenom na Hereketu, kako instagram.com, tako i www.instagram.com dobijaju odvojene certifikate, unatoč tome što se glavni domen koristi wildcard certifikatima (*.instagram.com) koji bi teoretski mogli osigurati poddomene. DigiCert SHA2 High Assurance Server CA izdaje ove certifikate i koristi SHA256 algoritme potpisivanja. Podaci iz certifikata prikupljeni tokom perioda praćenja otkrili su dosljedne obrasce u serijskim brojevima i SHA-1 heševima, pri čemu svaki certifikat održava standardni X.509 format. Certifikati uključuju sveobuhvatna imena alternativnih subjekata (SANs) koja pokrivaju razne Instagram domene, uključujući *.cdninstagram.com, *.igsonar.com, cdninstagram.com, igsonar.com i primarni instagram.com domen.
Ovaj pristup ultra-kratkog životnog ciklusa certifikata predstavlja potencijalni, značajan pomak u TLS sigurnosnoj arhitekturi. Tradicionalno upravljanje certifikatima oslanja se na duže periode valjanosti kako bi se postigla ravnoteža između sigurnosti i operativne efikasnosti, ali Instagramova strategija izgleda daje prioritet minimiziranju prozora ranjivosti u slučaju kompromitovanja privatnih ključeva. Dnevna strategija rotacije teoretski smanjuje uticaj potencijalnog kompromitovanja ključeva, budući da bi ukradeni certifikati imali ograničenu korisnost zbog svoje kratke preostale valjanosti. Međutim, sigurnosni stručnjaci napominju da ovaj pristup možda neće značajno poboljšati sigurnost ako se privatni ključevi pohranjuju na centralizovanim lokacijama, jer bi napadač koji dobije pristup trenutnim ključevima vjerovatno imao pristup čitavoj infrastrukturi za upravljanje ključevima. Implementacija sugerira da je Instagram razvio sofisticirane automatizovane sisteme sposobne za besprekornu implementaciju certifikata bez prekida usluge.
