1.1.1.1 için uygunsuz üç TLS sertifikasının, Cloudflare’den popüler kamu DNS hizmetinin ve Asya Pasifik Ağ Bilgi Merkezi’nin (APNIC) keşfedilmesi.
Mayıs 2025’te yayınlanan sertifikalar, saldırganların şifreli DNS aramalarını engellemesine ve şifresini çözmesine ve kullanıcıların tarama alışkanlıklarını ortaya çıkarmasına izin verebilir.
Yetkisiz sertifikaların varlığı, 3 Eylül 2025 Çarşamba günü, oluşturulduktan dört ay sonra bir çevrimiçi güvenlik forumunda halka dikkat çekildi.
Meşruiyeti Fina Root CA’dan türetilen bir Sertifika Otoritesi (CA) olan Fina RDC 2020 tarafından yayınlandı. Bu kök, sırayla Microsoft kök sertifika programına dahil edilmiştir, yani yanlış verilen sertifikalara varsayılan olarak Windows işletim sistemi ve Microsoft Edge tarayıcısı tarafından güvenilir.
1.1.1.1 için yanlış verilen TLS sertifikaları
Cloudflare yetkilileri, onaylarının yetkileri olmadan verildiğini doğruladı. Bir açıklamada, şirket “Sertifika-Temizlik E-posta Listesi hakkındaki raporu gördükten sonra, hemen bir soruşturmayı başlattık ve Fina, Microsoft ve Fina, Fina veya yanlış verilen sertifikalara olan güveni iptal ederek sorunu azaltabilecek TSP denetleyici kuruluşuna ulaştık.” Diye açıkladı. Cloudflare ayrıca kullanıcılara Warp VPN hizmetinin etkilenmediğinden emin oldu.
Microsoft, “derhal eylem talep etme sertifika yetkilisini” ele aldığını ve müşterileri korumak için izin verilmeyen listesi aracılığıyla etkilenen sertifikaları engellemek için harekete geçtiğini belirtti. Şirket, uygun olmayan sertifikaların neden dört ay boyunca tespit edilmediğine dair yorum yapmadı.
Diğer büyük tarayıcıların kullanıcıları etkilenmez. Google ve Mozilla temsilcileri, Chrome ve Firefox’un FINA kök sertifikasına hiç güvenmediğini doğruladılar ve Apple’ın Safari için güvenilir kök yetkilileri listesi Fina içermiyor, raporu okuyor.
Bir Aktarım Katmanı Güvenliği (TLS) sertifikası, bir alan adını genel bir anahtara bağlar ve alan adının sahibini kriptografik olarak doğrular. Bir alan adı için geçerli bir sertifika tutan herkes onu taklit edebilir. Bu sertifikalarla, bir saldırgan “ortada düşman” saldırısı yapabilir.
Bu olay, internetin çoğunu güvence altına alan kamu anahtar altyapısında (PKI) önemli bir zayıflık ortaya koymaktadır. Tek bir başarısızlık noktası tüm güven sistemini zayıflatabilir. Cloudflare’nin ifadesi CA ekosistemini “birçok kapıya sahip bir kale: bir CA’nın başarısızlığı, tüm kalenin güvenliğinin tehlikeye atılmasına neden olabilir”.
Keşif ayrıca, yanlış vergilerin hızlı bir şekilde tespiti için tasarlanmış tüm verilen sertifikaların kamuya açık bir kaydı olan Sertifika Şeffaflığı (CT) günlüklerinin etkinliği üzerinde bir gölge oluşturuyor.
Soruşturma devam ettikçe, sertifikaları kimin talep ettiği ve mevcut önlemlerin neden daha erken tespit edemediğine dair kritik sorular devam ediyor.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.