Kullanıcılarımızın dijital güvenliğini sağlamak bizim öncelik verdiğimiz konulardan biri. 24 Aralık günü, Chrome tarayıcısı “*.google.com” alan adı için verilen izinsiz bir dijital sertifikayı tespit etti ve hemen engelledi. Durumu derhal inceledik ve sertifikanın, bir Türk sertifika kurumu olan TURKTRUST'a bağlı bir aracı sertifika kurumu (CA) tarafından verildiğini tespit ettik. Aracı sertifika kurumlarından verilen sertifikalar, tüm CA yetkisini taşımaktadır, dolayısıyla bu sertifikaya sahip olan herhangi biri taklit etmek istediği her site için bir sertifika yaratabilmektedir.
Bu durumun tespitinden sonra, hemen harekete geçtik ve Chrome’un 25 Aralık tarihinde üstveri sertifika iptal özelliğini güncelleyerek, bu aracı sertifika kurumunu engelledik. Ardından TURKTRUST ve diğer tarayıcı firmalarını bu durumdan haberdar ettik. TURKTRUST, 2011 Ağustos ayında aslında SSL (güvenli yuva katmanı) sertifikaları alması gereken organizasyonlara yanlışlıkla iki adet aracı kurum sertifikası verilmiş olduğunu iletti. Bu bilgi doğrultusunda, 26 Aralık'ta ikinci hatalı aracı kurum sertifikasını engellemek için yeni bir Chrome üstveri güncellemesi yaptık ve diğer tarayıcı firmalarını bilgilendirdik.
Kullanıcılarımızın bu durumdan etkilenmemesi için gereken aksiyonları hemen aldık. Ancak durumun hassasiyetini göz önünde bulundurarak Ocak ayında yapılacak bir güncellemeyle, Chrome artık TURKTRUST tarafından verilen sertifikalar için ‘Gelişmiş Doğrulama’ durumu bildirmiyor olacak, ancak TURKTRUST onaylı HTTPS sunucularına bağlantı izni verilmeye devam edilebilir.
Birinci önceliğimiz kullanıcılarımızın güvenliği ve gizliliği olduğu için, konu ile ilgili görüşmelere ve durumu incelemeye devam ediyor olacağız. Tüm bu görüşmeler sonrasında ek aksiyonlar almaya karar verebiliriz.
Adam Langley, Yazılım Mühendisi
Hiç yorum yok:
Yorum Gönder