Şifreleme ve Anahtar Yönetimi, Güvenlik Operasyonları
Google, Yıllarca süren ‘Davranışlarla İlgili’ Durumdan Sonra Emanet’i ‘Güvenilmez’ Olarak Belirledi
Mathew J. Schwartz (euroinfosec) •
8 Kasım 2024
Sertifika yetkilisi Entrust, herhangi bir CA için en kötü durum senaryosuyla yüzleşmek üzere: tarayıcı üreticileri artık ona ya da yayınladıkları yeni dijital sertifikalara güvenmiyor.
Ayrıca bakınız: Şifre Güvenliğini IAM ile Eşleştirme
Yıllardır süren sorunlardan bahseden Google Chrome ve Java Runtime Engine, Salı günü Minneapolis merkezli Entrust tarafından yönetilen tüm yeni kök sertifika yetkililerine güvenmeyi bırakacak. Mozilla ay sonunda aynı şeyi yapacak. Sonuç olarak, yeni yayınlanan Entrust tarafından verilen dijital sertifikaya sahip, halka açık hiçbir site veya hizmet, tarayıcılar tarafından güvenilir olarak değerlendirilmeyecektir. Mevcut sertifikalar, süreleri dolana kadar (genellikle verildikten 398 gün veya daha kısa süre sonra) çalışmaya devam edecektir.
Güvenilmeyen bir sertifika kullanan herhangi bir siteye göz atmaya çalıştığınızda, “bağlantınız güvenli değil” veya “bağlantınız özel değil” şeklinde bir tarayıcı hata mesajı görüntülenir; ancak kullanıcı bu tür sitelere ulaşmak için yine de “gelişmiş” düğmesini tıklayabilir.
Güvenilmez hale gelmek, 1999’da dijital sertifika satmaya başlayan Entrust için utanç verici bir dönemeci temsil ediyor. Bu tür sertifikalar, internetin güvenliğinin sağlanması, HTTPS’de güvenli “ler” sağlayarak tarayıcılar ve siteler arasındaki iletişimin şifrelenmesi için hayati önem taşıyor. Ödeme kartı verilerinin e-ticaret sitelerine gönderilmesinden, hasta portallarından sağlık bilgilerine erişime ve e-postaların çevrimiçi okunmasına kadar her şey, temel dijital sertifikalara güvenilebilmesine bağlıdır.
Bunların tümü, CA/Tarayıcı Forumu olarak da bilinen, sektörün Sertifika Otoritesi Tarayıcı Forumu tarafından belirlenen temel gereksinimleri takip eden CA’lara dayanan güvene dayanır. Bu kurallar kısmen, bir CA’nın bir olaya maruz kalması durumunda, hata izleme hizmeti Bugzilla’ya – “algılanan etkiden bağımsız olarak” – CA’nın bu durumu anladığını gösteren “ayrıntılı, samimi, zamanında ve şeffaf” bilgiler içeren bir rapor sunması gerektiğini şart koşar. Olayın temel sebebini çözmek için hızla ilerliyoruz.
Google, “İşler yolunda gitmediğinde, CA sahiplerinin anlamlı ve kanıtlanabilir bir değişim taahhüt etmelerini ve bunun sonucunda da kanıtlanmış sürekli iyileştirme sağlamalarını bekliyoruz” dedi.
Tarayıcı, Entrust’un yetersiz kaldığını söylüyor. Google, Haziran ayında yaptığı açıklamada, “Geçtiğimiz birkaç yılda, kamuya açıklanan olay raporları, Entrust’un yukarıdaki beklentileri karşılayamayan endişe verici davranış modellerini ortaya çıkardı ve kamuya açık olarak güvenilen bir CA sahibi olarak yetkinliğine, güvenilirliğine ve bütünlüğüne olan güveni sarstı.” dedi. .
Teknoloji devi, sonuç olarak Entrust tarafından verilen dijital sertifikaların kısa süre içinde “artık güvenilir” olarak değerlendirilemeyeceğini ve Entrust tarafından verilen sertifikalara sahip olan herkesin bunları hemen güvenilir bir CA’ya geçirmeye başlaması gerektiğini söyledi.
Google, Entrust ile ilgili her konuyu ayrıntılı olarak açıklamasa da, Mozilla tarafından Mart ayından Mayıs ayına kadar yayınlanan olaylar listesi, ciddi “olayların ele alınması, iletişim ve operasyonel prosedürler” de dahil olmak üzere çok sayıda önemli sorunun altını çizdi. Bu olaylardan yalnızca birinde Entrust, yalnızca yanlış verilen sertifikaları hızlı bir şekilde iptal etme konusunda başarısız olmakla kalmayıp aynı zamanda bunları vermeye devam etmesi ve ardından CA/Tarayıcı Forumu kuralına uymak zorunda olmaması gerektiğini savunması nedeniyle topluluktan ciddi bir tepkiyle karşı karşıya kaldı. Kırılıyor.
İnternet istihbarat firması Censys, Temmuz ayı itibarıyla Entrust’un, Google tarafından güvenilen 464 CA arasında 22. sırada yer aldığını ve 4 milyon sertifika verdiğini, AffirmTrust markasının ise yalnızca 37.646 sertifikayla 78. sırada yer aldığını söyledi. Censys, Entrust’un dokuz CA’sından birini kullanan 876.681 fiziksel ve sanal ana bilgisayar buldu; Disney’in bu ana bilgisayarlardan 30.000’ini oluşturduğu görülüyor.
İlk Defa Değil
Bu, bir CA’nın güvenilmez hale geldiği ilk durum değil. Symantec’in dijital sertifika işinin dijital sertifikaları nasıl doğruladığı ve yayınladığına ilişkin endişelerin artmasının ardından Google, Mozilla, Apple ve Microsoft, 2018’de Thawte, VeriSign, Equifax, GeoTrust ve RapidSSL dahil olmak üzere “Symantec sertifika yetkililerine güvenmeyeceklerini” duyurdular. Symantec CA’larını kullanan herkesi, sertifikalarını güvenilir bir CA’dan değiştirmeye çağırdılar; buna “yakın zamanda Symantec’in CA işini satın alan DigiCert de dahil.”
Dünyanın en büyük sertifika otoritesi olan Utah merkezli DigiCert’in 2017 yılında Symantec’in web sitesi güvenliği ve genel anahtar altyapısı işini satın almasına rağmen, topluluk hâlâ Symantec CA’larının altını çiziyor.
DigiCert, etkilenen tüm Symantec dijital sertifika sahiplerine, güvenilir sertifikalarına ücretsiz geçiş hakkı sunduğunu söyledi.
Hızlı Yanıt
Bu yılın başlarında yayınlanan bir bölümde, olaylar gün yüzüne çıktığında topluluğun muhtemelen görmeyi beklediği tepki türü vurgulandı. 29 Temmuz’da DigiCert, iç süreçlerinde, bazen şirketin bazı müşterilere sertifika vermeden önce bazı müşterilerin sahip olduğu veya kontrol ettiği alan adlarının sahipliğini yanlış bir şekilde doğrulamasına yol açan bir hata keşfettiğini duyurdu.
Sonuç olarak DigiCert, 30 Temmuz’da 6.807 müşteriye verilen 83.267 sertifikanın iptal edileceği konusunda uyardı. DigiCert, CA/Tarayıcı Forumu kurallarına göre, yanlışlıkla verilen sertifikaların “istisnasız 24 saat içinde iptal edilmesi gerektiğini” ve “buna uyulmaması, sertifika yetkilisine güvensizlikle sonuçlanabileceğini” söyledi.
Kritik altyapı operatörlerinin yanı sıra geçici bir yasaklama emri isteyen bir dava da dahil olmak üzere geri itmelerle karşı karşıya kalan DigiCert, tarayıcı üreticileriyle görüştükten sonra talep üzerine müşterilere beş günlük bir uzatma sunabileceğini söyleyerek bir miktar geri adım attı. 3 Ağustos’ta şirket tüm sertifikaları iptal etti.
Bu kadar şeffaf ve dakik bir şekilde çalışmayı başaramayan Entrust’u sırada ne bekliyor? Şirket, güvenilir bir CA olmaya devam eden SSL.com tarafından yayınlanan Entrust markalı sertifikalar biçiminde müşterilere dijital sertifikalar sağlamaya devam edeceğini söyledi.