Instagram ha adoptado un enfoque sin precedentes para la seguridad web mediante la implementación de la rotación diaria de los certificados TLS que mantienen períodos de validez de solo una semana, según un análisis técnico reciente.
Esta práctica representa una desviación significativa de los estándares de la industria, donde los certificados generalmente siguen siendo válidos por 90 días o más, lo que sugiere un cambio estratégico hacia protocolos de seguridad mejorados por la plataforma de intercambio de fotos de Meta.
Control de llave
1. Instagram cambia los certificados TLS diariamente en lugar de los períodos estándar de más de 90 días, utilizando certificados con solo ~ 8 días de validez.
2. Los intercambios de certificados ocurren precisamente entre 16: 00-17: 00 UTC diariamente a través de sistemas automatizados.
3. Instagram.com y www.instagram.com Obtenga certificados individuales a pesar de la capacidad comodín.
4. Los ciclos de vida ultra cortos pueden no mejorar significativamente la seguridad si las claves privadas permanecen almacenadas centralmente.
Estrategia de rotación certificada diaria
La investigación, realizada a través del monitoreo automatizado de certificados durante varias semanas, reveló que Instagram implementa certificados con aproximadamente 8 días restantes hasta el vencimiento y los reemplaza diariamente cuando quedan aproximadamente 7 días de validez.
Esto crea un ciclo de rotación efectivo “1 1 certificado por día” que funciona con notable precisión.
El despliegue del certificado ocurre consistentemente entre las 16:00 y las 17:00 UTC, específicamente alrededor de la marca de 25-30 minutos dentro de ese plazo.
Según el Hereket informeTanto Instagram.com como www.instagram.com reciben certificados separados, a pesar del dominio principal que utiliza certificados comodín (*.instagram.com) que teóricamente podrían asegurar subdominios.
Digicert SHA2 High Assurance Server CA emite los certificados y emplea algoritmos de firma SHA256.
Los datos de certificado extraídos durante el período de monitoreo revelaron patrones consistentes en los números de serie y los hashes SHA-1, con cada certificado manteniendo el formato X.509 estándar.
Los certificados incluyen nombres alternativos integrales de sujetos (SAN) que cubren varios dominios de Instagram, incluidos *.cdninstagram.com, *.igsonar.com, cdninstagram.com, iGsonar.com y el dominio principal de Instagram.com.
Implicaciones de seguridad
Este enfoque de ciclo de vida de certificado ultra corta representa un posible cambio de paradigma en la arquitectura de seguridad de TLS.
La gestión tradicional de los certificados se basa en períodos de validez más largos para equilibrar la seguridad con la eficiencia operativa, pero la estrategia de Instagram parece priorizar minimizar la ventana de vulnerabilidad si las claves privadas se comprometen.
La estrategia de rotación diaria reduce teóricamente el impacto del compromiso clave potencial, ya que los certificados robados habrían limitado la utilidad debido a su breve validez restante.
Sin embargo, los expertos en seguridad señalan que este enfoque puede no mejorar significativamente la seguridad si las claves privadas se almacenan en ubicaciones centralizadas, ya que un atacante que obtiene acceso a las claves actuales probablemente tendrá acceso a toda la infraestructura de administración de claves.
La implementación sugiere que Instagram ha desarrollado sistemas de automatización sofisticados capaces de implementar certificados sin interrupciones sin interrupción del servicio.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
.webp?w=1600&resize=1600,900&ssl=1){kind=link}