Bir kullanıcı, yeni bir TLS sertifikası oluşturduktan hemen sonra OpenAI'a ait "OAI-SearchBot" adlı arama botunun, sertifikayla ilişkili alan adını (autoconfig.benjojo.uk) ziyaret ettiğini ve robots.txt dosyasını talep ettiğini fark etti. Bu durum, OpenAI'ın Sertifika Şeffaflığı (Certificate Transparency - CT) kayıtlarını aktif olarak tarayarak yeni alan adlarını neredeyse anında keşfettiğini gösteriyor. CT kayıtları, tüm sertifika otoriteleri tarafından verilen SSL/TLS sertifikalarının herkese açık bir kaydıdır ve bu sayede herhangi bir domain için yetkisiz sertifika verilip verilmediği kontrol edilebilir.
Bu keşif, CT kayıtlarının potansiyel bir "alan adı numaralandırma" (domain enumeration) kaynağı olarak kullanılabileceği tartışmasını başlattı. Bazı yorumcular, alan adlarının doğrudan görünmesini engellemek için karma (hash) yöntemlerinin kullanılabileceğini öne sürse de, makalenin yazarı Benjojo, CT kayıtlarının temel amacının tam şeffaflık olduğunu ve bu sistemin bütünlüğünü bozmanın ciddi güvenlik açıkları yaratabileceğini savundu. CT kayıtları, dış gözlemcilerin sertifika otoritelerinin politikalarını ve sertifika verme süreçlerini tam olarak denetleyebilmesi için hayati öneme sahiptir.
Tartışmada, alan adlarının aslında o kadar da gizli olmadığı ve bu tür bir gizliliğe dayanmanın yanlış bir yaklaşım olduğu belirtildi. Ayrıca, wildcard sertifikaların kullanılması gibi yöntemlerle bu tür taramaların etkisinin azaltılabileceği ifade edildi. Sonuç olarak, CT kayıtlarının sağladığı şeffaflığın, alan adı keşfi gibi yan etkilerine rağmen, genel internet güvenliği için vazgeçilmez olduğu vurgulandı.
OpenAI'ın arama botlarının, internetin şeffaflık altyapısını kullanarak yeni web sitelerini hızla keşfetme yeteneği, veri toplama stratejilerinin ve internetin temel güvenlik mekanizmalarının etkileşimini gözler önüne seriyor.