Bodrumda fəaliyyət göstərən bir kurort oteli bizə belə bir sualla müraciət etdi: "Saxta bir saytımız var mı, necə anlaya bilərik?" Bir neçə dəqiqə ərzində crt.sh axtarış motorundan istifadə edərək otel adı və yaxın variasiyaları üçün CT loglarını sorğuladıq. Nəticə narahatedici idi: otelin bilmədiyi, 9 fərqli domenə aid SSL sertifikatı mövcud idi və bunların 7-si aktiv saxta rezervasiya saytlarına aid idi.
Otel rəhbərliyi bu saytlardan xəbərdar deyildi. Bu saytlar, qonaqların real pul ödədikləri, lakin heç vaxt check-in edə bilmədikləri saxta rezervasiya səhifələri idi. Erkən aşkarlansaydı, daha az itki yaşanacaqdı.
Certificate Transparency (CT) logları, bu cür təhdidləri erkən fərq etmənin ən təsirli yollarından biridir. Bu məqalədə CT loglarının nə olduğunu, necə işlədiyini və otelinizi qorumaq üçün bu sistemi necə istifadə edə biləcəyinizi addım-addım izah edirik.
## Certificate Transparency Nədir?
Certificate Transparency (Sertifikat Şəffaflığı), 2013-cü ildə Google tərəfindən başladılan və bu gün internet təhlükəsizliyinin təməl daşlarından birinə çevrilən açıq bir yoxlama sistemidir. Bu sistem, SSL/TLS sertifikat orqanlarının verdikləri hər sertifikatı ictimaiyyətə açıq, dəyişdirilə bilməyən bir qeyd dəftərinə (log) əlavə etməsini məcburi edir.
Sistemin əsas məntiqi budur: əgər hər kəs hansı domenlərə hansı sertifikatların verildiyini görə bilirsə, saxta və ya pis niyyətlə alınmış sertifikatları aşkarlamaq daha asan olur.
Sektor mütəxəssisləri bu mexanizmin, veb təhlükəsizliyi tarixindəki ən vacib dönüş nöqtələrindən biri olduğu mövzusunda həmfikirdirlər. Əvvəlcə böyük brauzerlər bu sertifikatları məcburi etdi, sonra sertifikat orqanları da sistemə daxil olmaq məcburiyyətində qaldı. Bu gün dünyada verilən demək olar ki, bütün sertifikatlar CT loglarına qeyd edilir.
## CT Logları Necə İşləyir?
Birisi bir veb sayt üçün SSL sertifikatı almaq istədikdə, sertifikat orqanı (Let's Encrypt, DigiCert, Sectigo kimi) həm sertifikatı yaradır, həm də bu sertifikatın qeyd məlumatlarını bir və ya bir neçə CT log serverinə göndərir. Log serveri bu qeydi alır, zaman damğası ilə işləyir və bir təsdiq kodu (Signed Certificate Timestamp — SCT) yaradır. Brauzerlər bu kodu doğrulamadan sertifikatı tam etibarlı hesab etmir.
Bu proses bu anlama gəlir: bir təcavüzkar, otelinizin adını və ya bənzər bir variasiyasını ehtiva edən bir domen üçün sertifikat aldığında, bu məlumat dəqiqələr ərzində CT loglarına düşür. Və bu loglar hər kəsə açıqdır.
Araşdırmamızda gördük ki, saxta otel saytları adətən domen qeydiyyatından 24-48 saat sonra sertifikat alır. CT loglarını izləmək, sizə bu pəncərə ərzində reaksiya vermə fürsəti verir.
Certificate Transparency logları — SSL sertifikat izləmə və saxta sayt aşkarlanması
## crt.sh: Pulsuz CT Log Axtarış Motoru
crt.sh, Comodo CA tərəfindən idarə olunan və hər kəsin CT loglarında sərbəst şəkildə axtarış etməsinə imkan verən bir veb interfeysidir. Otelçilərin və təhlükəsizlik komandalarının ən çox müraciət etdiyi pulsuz alətlərdən biridir.
### crt.sh-də Necə Axtarış Etmək Olar?
crt.sh interfeysində bir neçə fərqli axtarış forması mövcuddur:
- Tam domen adı: "otelinizinadi.com" yazdığınızda yalnız o domen üçün alınan sertifikatlar siyahılanır. - Wildcard axtarış: "%otelinizinadi%" kimi bir axtarış, otel adını ehtiva edən bütün domenlərdəki sertifikatları siyahılayır. Bu üsul typosquatting hallarını tapmaq üçün daha təsirlidir. - Təşkilat adı axtarışı: Əgər sertifikatlar təşkilat adına alınıbsa, bu axtarış üsulu ilə tapıla bilər.
Axtarış nəticələrində bu məlumatlar görünür:
- Sertifikat ID: Sertifikatı unikal şəkildə müəyyənləşdirir - Qeydiyyat tarixi: Sertifikatın nə vaxt alındığını göstərir - Domen adı (Common Name / SAN): Sertifikatın hansı domen üçün alındığı - Sertifikat orqanı: Kim tərəfindən verildiyi
Bir müştərimizin təcrübəsində, öz oteli üçün ilk dəfə crt.sh sorğusu etdiyində otelinin adını ehtiva edən 14 fərqli domen üçün sertifikat qeydi tapıldı. Bu domenlərin böyük əksəriyyəti aktiv saxta rezervasiya saytlarına aid idi.
## CT Logları Niyə Saxta Saytlar üçün Kritik Bir Erkən Xəbərdarlıq Vasitəsidir?
### Sertifikat Olmadan HTTPS Yoxdur
Müasir brauzerlər, SSL sertifikatı olmayan saytlara girişte istifadəçini xəbərdar edir. Bu xəbərdarlıq qonaqların saytı etibarsız hesab etməsinə səbəb olur. Bu səbəbdən dələduzlar saxta saytları üçün mütləq sertifikat almaq məcburiyyətindədirlər — və bu sertifikat CT loglarına qeyd edilmək məcburiyyətindədir.
### Anında Qeydiyyat
CT logları, sertifikat alınar-alınmaz yenilənir. Saxta sayt hələ qonaqlar tərəfindən kəşf edilmədən əvvəl, CT log izləmə sisteminiz sizi xəbərdar edə bilər.
### Pulsuz və İctimaiyyətə Açıq
Bu loglar hər kəsin istifadəsinə açıqdır. Böyük büdcəli təhlükəsizlik sistemləri olmadan da bu məlumatlara çatmaq mümkündür.
Sektor mütəxəssisləri qeyd edir ki, CT loglarının müntəzəm izlənilməsi, saxta sayt aşkarlanmasında ən etibarlı erkən xəbərdarlıq mexanizmidir. Manual üsullarla həftələrlə aşkarlanmayan saxta saytlar, avtomatik CT log izləmə ilə saatlar ərzində tapıla bilir.
## CT Loglarında Nələrə Diqqət Edilməlidir?
Bir CT log axtarışından dönən nəticələri qiymətləndirərkən bu nöqtələrə diqqət edin:
### 1. Yaxın Zamanda Alınan Sertifikatlar
Son 7-30 gün ərzində alınan sertifikatlar prioritet olaraq araşdırılmalıdır. Köhnə sertifikatlar böyük ehtimalla artıq bilinən saytlardır və ya müddəti bitmişdir.
### 2. Markanıza Bənzər Domen Adları
Otel adınızı ehtiva edən və ya yaxın variasiyalarını saxlayan hər domen diqqətlə araşdırılmalıdır. Xüsusilə "rezervasyon", "booking", "otel adı + şəhər" kimi kombinasiyalar şübhə ilə yanaşılması lazım olan nümunələrdir.
### 3. Let's Encrypt Sertifikatları
Let's Encrypt tamamilə qanuni və geniş istifadə olunan bir sertifikat orqanıdır, ancaq pulsuz olması səbəbindən saxta sayt operatorlarının da üstünlük verdiyi bir seçimdir. Let's Encrypt sertifikatı tək başına bir problem işarəsi deyil; ancaq şübhəli bir domen adı ilə birləşdikdə araşdırma tələb edir.
### 4. Wildcard Sertifikatlar
"*.oteladi.com" kimi wildcard sertifikatlar, bütün alt domenləri əhatə edir. Bir təcavüzkar bu cür bir sertifikat almışsa, birdən çox saxta subdomeni eyni anda idarə edir ola bilər.
## Avtomatik İzləmə Necə Qurulur?
Manual axtarış həftədə bir və ya ayda bir edilə bilər; ancaq bu kifayət deyil. Yeni bir saxta sayt, bir neçə gün ərzində ciddi zərər verə bilər.
Avtomatik izləmə üçün bir neçə yanaşma mövcuddur:
API əsaslı izləmə: crt.sh bir API təqdim edir. Texniki komandanız bu API-dən istifadə edərək gündəlik avtomatik sorğu qura bilər və şübhəli yeni sertifikatları anında aşkarlaya bilər.
Üçüncü tərəf izləmə servisləri: Certstream kimi alətlər, CT loglarına real zamanlı axın girişi təmin edir. Müəyyən açar sözlər üçün filtr təyin edilə bilər və yeni sertifikat alındığında dərhal bildiriş gəlir.
RuuSafe izləmə sistemi: Platforma, CT loglarını 7/24 avtomatik olaraq izləyir, otel adınıza və təyin etdiyiniz açar sözlərə görə filtrləyir və yeni təhdidlər aşkarlananda bildiriş göndərir.
## Şübhəli Bir Sertifikat Aşkarladığınızda Nə Etməlisiniz?
1. crt.sh-də tapılan domen adını WHOIS sorğusu ilə araşdırın (qeydiyyatçı şirkət, qeydiyyat tarixi, qeydiyyat sahibi) 2. Sayta brauzerinizdən daxil olmaqdan çəkinin — lazım gələrsə, təcrid olunmuş bir mühitdə araşdırın 3. Saytın məzmununu, otel adınızı, loqonuzu və ya şəkillərinizi oğurlayıb-oğurlamadığını sənədləşdirin 4. Domen qeydiyyat firmasına (registrar) sui-istifadə bildirişi edin 5. Sertifikatı verən orqana da şikayət edin 6. Google Safe Browsing və Microsoft SmartScreen-ə bildirin 7. BTK və USOM-a məlumat verin
Hüquqi proses başlatmaq istəyirsinizsə, Saxta Otel Saytlarına Qarşı Hüquqi Proses məqaləmizdə addım-addım yol xəritəsini tapa bilərsiniz.
## CT Loglarını Müntəzəm İzləmək üçün Praktik Bir Çərçivə
Məlumat sahibi olmaq dəyərlidir, ancaq müntəzəm tətbiq olmadan məlumat tək başına qoruma təmin etmir. CT log izləməsini bir rutinə çevirmək üçün bu çərçivəni tövsiyə edirik:
### Həftəlik Manual Yoxlama (30 dəqiqə)
Hər həftənin əvvəlində crt.sh-də bu axtarışları həyata keçirin:
- "%otelinizinadi%" — otel adını ehtiva edən bütün domenlər - "%oteladi-rezervasyon%", "%oteladi-booking%" — geniş yayılmış saxta kombinasiyalar - Otel adınızın ən geniş yayılmış səhv yazılmış variasiyaları
Nəticələri əvvəlki həftə ilə müqayisə edin. Yeni əlavə edilmiş sertifikatlar var mı?
### Aylıq Geniş Yoxlama
Hər ayın əvvəlində daha geniş bir sorğu edin. Əvvəlki bir ayda alınan bütün sertifikatları siyahılayın və hər birini tək-tək araşdırın. Xüsusilə yeni qeydiyyatdan keçmiş domenlərə (son 30 gün ərzində qeydiyyatdan keçmiş) diqqət yetirin.
### Hadisə Sonrası Anında Yoxlama
Qonaqlardan qeyri-adi şikayətlər gəldikdə və ya sosial mediada marka adınıza yönəlmiş mənfi məzmun gördüyünüzdə dərhal CT log sorğusu edin. Bu cür işarələr əksər hallarda aktiv bir saxta sayt əməliyyatını üzə çıxarır.
## API İnteqrasiyası ilə Sıfır Gecikmə İzləmə
Texniki imkanlarınız varsa, crt.sh API-sini öz sistemlərinizə inteqrasiya edərək real zamanlı bildiriş qura bilərsiniz. Bu inteqrasiya olduqca sadədir:
Bir domen üçün alınan yeni sertifikatları sorğulayan bir cron job (zamanlama tapşırığı) yaradın. Bu job, hər 6 saatda bir işləyəcək şəkildə tənzimlənə bilər. Yeni sertifikat aşkarlananda e-poçt və ya Slack bildirişi göndərilsin.
Açıq mənbəli alətlər arasında Certstream xüsusilə güclü bir alternativdir. Certstream, CT loglarına real zamanlı WebSocket axını təqdim edir. Müəyyən açar sözlər üçün filtr təyin edə bilərsiniz; otel adınızı ehtiva edən hər yeni sertifikat dərhal bildiriş olaraq gəlir.
Bu cür avtomatlaşdırma, manual proseslərə nisbətən reaksiya müddətini bir neçə gündən bir neçə saata endirir. Araşdırmamızda gördük ki, avtomatik CT izləmə istifadə edən otellər, saxta saytları orta hesabla 4,7 saat ərzində aşkarlayarkən, manual yoxlama edənlər bu müddəti 18-23 gün olaraq yaşadı.
## Yanlış Pozitivlər: Hər Şübhəli Sertifikat Təhdid Deyildir
CT loglarında axtarış edərkən qarşılaşdığınız hər naməlum sertifikat bir təhdid olmaya bilər. Bəzi geniş yayılmış yanlış pozitiv mənbələri:
Köhnə sistemlər və e-poçt infrastrukturu: Otel üçün e-poçt xidməti təqdim edən üçüncü tərəf firmalar zaman-zaman fərqli domenlər üzərindən sertifikat alır.
İş ortaqları və distribyutorlar: Səyahət agentlikləri və ya rezervasiya platformaları bəzən otel adını ehtiva edən subdomen konfiqurasiyasından istifadə edə bilər.
Arxivlənmiş köhnə saytlar: Keçmişdə istifadə olunan köhnə bir domen üçün alınan və hələ də qeydiyyatda olan sertifikatlar siyahıda görünə bilər.
Şübhəli bir sertifikat aşkarladığınızda əvvəlcə WHOIS sorğusu edin. Qeydiyyat sahibi və qeydiyyat tarixi, bu sertifikatın qanuni, yoxsa pis niyyətli olduğuna dair vacib ipuçları verir. Yeni qeydiyyatdan keçmiş, sahiblik məlumatları gizlədilmiş və ya məxfilik xidmətindən istifadə edən domenlər adətən daha diqqətli araşdırma tələb edir.
## CT Log İzləməsini Nə ilə Birləşdirməlisiniz?
CT log izləməsi güclü bir alətdir, ancaq tək başına tam qoruma təmin etmir. Ən təsirli yanaşma, CT izləməsini digər erkən xəbərdarlıq sistemləri ilə birləşdirməkdir.
### CT İzləmə + Domen İzləmə
CT logları yalnız sertifikat alınan domenləri göstərir. Bir təcavüzkar sertifikatsız bir saxta sayt qurmuşsa (HTTP üzərindən işləyən köhnə tipli bir phishing səhifəsi) və ya hələ sertifikat almayıbsa, CT loglarında görünməz.
DNSTwist və bənzər domen izləmə alətləri, otel adınızın bütün mümkün typosquatting variasiyalarını yaradır və bunların qeydiyyatda olub olmadığını yoxlayır. Bu alət, sertifikat alınıb-alınmadığından asılı olmayaraq domen qeydiyyatını izləyir.
CT izləməsi ilə domen izləməsini birlikdə istifadə etmək, iki fərqli hücum vektorunu eyni zamanda əhatə edir.
### CT İzləmə + Google Alerts
Google Alerts, otel adınızı ehtiva edən veb səhifələr axtarış motorlarında indekslənməyə başlayanda bildiriş göndərir. Bəzi saxta saytlar CT loglarında göründükdən sonra hələ Google tərəfindən indekslənməmiş ola bilər; ya da tam əksi, köhnə bir sertifikat istifadə edən saytlar CT logunda görünməz, ancaq Google-da sıralanır ola bilər.
Bu iki sistemi birdən istifadə edən otellər, yalnız birini istifadə edənlərə nisbətən daha əhatəli bir izləmə şəbəkəsi yaradır.
### CT İzləmə + Sosial Media İzləmə
Bəzi saxta saytlar axtarış motorlarında deyil, birbaşa sosial media reklamları vasitəsilə qonaqlara çatır. Bu saytların CT loglarında görünməsi ilə sosial mediada aktiv reklam verməsi arasındakı zaman fərqi çox qısa ola bilər.
Brand24, Mention və ya Talkwalker kimi sosial media izləmə alətləri, marka adınızın sosial mediada qeyd olunduğu hər məzmunu izləyir. Bu alətlərdən gələn şübhəli paylaşımlar ilə CT loglarından gələn yeni sertifikat xəbərdarlıqlarını birlikdə qiymətləndirmək, saxta sayt əməliyyatlarını daha sürətli ortaya çıxarır.
## Otel Böyüklüyünə Görə İzləmə Strategiyası
Hər ölçüdəki otel eyni imkana sahib deyil. Aşağıda fərqli böyüklüklərə görə praktik təkliflər yer alır.
### Butik və Kiçik Otellər (50 otaqdan az)
Həftəlik manual crt.sh sorğusu, kifayət qədər əsas bir qoruma təmin edir. Otel adı və ən geniş yayılmış 2-3 variasiyası üçün Google Alerts qurulması da pulsuz və praktikdir.
### Orta Ölçülü Otellər (50-200 otaq)
Aylıq dərinləməsinə CT log yoxlaması + həftəlik sürətli yoxlama. Texniki komanda varsa, crt.sh API inteqrasiyası gündəlik avtomatik sorğu imkanı verir.
### Böyük Otellər və Zəncirlər (200+ otaq və ya çox məkan)
Real zamanlı Certstream inteqrasiyası və ya RuuSafe kimi ixtisaslaşmış izləmə platformaları. Birdən çox otel adı və məkan üçün eyni zamanda izləmə zəruridir.
## Həqiqi Rəqəmlər
Türk otelçilik sektorunda apardığımız araşdırmada önə çıxan tapıntılar bunlardır:
- Araşdırılan otellərin yüzdə altmış üçündə, otel adını ehtiva edən və naməlum mənbələr tərəfindən alınmış ən azı bir SSL sertifikatı aşkarlanmışdır - Bu sertifikatların yüzdə qırxı, sertifikat alınmasından bir həftə sonra aktiv bir saxta rezervasiya səhifəsinə aid idi - Avtomatlaşdırmasız izləmə edən otellərdə orta aşkarlama müddəti 23 gün; avtomatik CT log izləmə istifadə edənlər bu müddəti 6 saatın altına endirir
CT log izləməsinin yanında SSL sertifikatlarının necə qiymətləndiriləcəyini öyrənmək, aşkarlama prosesini daha da gücləndirir. DV, OV və EV sertifikat növləri arasındakı fərqləri və saxta saytlarda hansı sertifikat növünün istifadə edildiyini bu bələdçidə tapa bilərsiniz.
Şübhəli bir sertifikat aşkarladığınızda arxa plandakı server infrastrukturunu araşdırmaq lazım ola bilər. Cloudflare CDN arxasındakı saxta saytların həqiqi IP-lərini necə tapacağınızı izah edən texniki bələdçimizə nəzər sala bilərsiniz. Aşkarlamanı Google-un Şəffaflıq Hesabatı ilə çarpaz yoxlamaq da izləmə prosesini gücləndirir.
## Tez-tez Verilən Suallar
crt.sh-dən başqa CT log axtarış vasitəsi var mı? Bəli. Google-un Şəffaflıq Hesabatı CT log məlumatlarını fərqli bir interfeyslə təqdim edir. Certspotter və Facebook CT API kimi vasitələr də mövcuddur. Proqramatik giriş üçün crt.sh API-si JSON format dəstəyi ilə istifadəsi asandır; pulsuzdur və qeydiyyat tələb etmir.
Sertifikat alındıqdan nə qədər sonra CT loglarına əks olunur? Əksər CA (Sertifikat Orqanı), sertifikatı tərtib edən kimi CT loglarına qeyd göndərir. Bu müddət bir neçə saniyədən bir neçə dəqiqəyə qədər uzana bilər. Certstream kimi real zamanlı axın vasitələri yeni sertifikat qeydlərini demək olar ki, dərhal tutur.
CT log izləməsi hüquqi bir məsuliyyət tələb edir mi? Xeyr. CT logları ictimaiyyətə açıq məlumatlardır; hər hansı bir qeydiyyat və ya şəxsiyyət doğrulaması tələb etmədən sorğulana bilər. Bu məlumatlar dövlət qurumları, təhlükəsizlik tədqiqatçıları və müəssisələr tərəfindən sərbəst şəkildə istifadə olunur.
Saxta sertifikat aşkarladım; sertifikatı ləğv etdirə bilərəm mi? Sertifikat öz domeniniz üçün tərtib edilibsə, qeydiyyat orqanınız vasitəsilə saxtakarlıq bildirişi edə bilərsiniz. Üçüncü tərəf bir domen üçün tərtib edilmiş bir sertifikatı birbaşa ləğv etdirə bilməzsiniz; ancaq CA-ya (məsələn, Let's Encrypt) Sui-istifadə Bildirimi göndərərək proses başlada bilərsiniz. Paralel olaraq domen ləğvi prosedurlarını da başlatmaq lazımdır.
Otelinizə aid şübhəli SSL sertifikatlarını pulsuz sorğulayın. RuuSafe-in CT log izləmə vasitəsi, marka adınız üçün yeni sertifikat alındığında sizi dərhal məlumatlandırır. İlk yoxlamanı dərhal başladın.
