Google, Chrome tarayıcısının 1 Kasım 2024’ten itibaren Entrust ve AffirmTrust tarafından verilen TLS sunucu kimlik doğrulama sertifikalarına güvenmeyi bırakacağını duyurdu.
Bu karar, Google’ın sertifika otoritesinin (CA) yeterliliği ve güvenilirliğine olan güvenini aşındıran Entrust’ın bir dizi uyumluluk başarısızlığı ve yerine getirilmeyen iyileştirme taahhütlerinin ardından geldi.
Sertifika Yetkilileri (CA’lar), web sitesinin orijinalliğini doğrulayan ve tarayıcılar ile web sunucuları arasında şifreli bağlantıları etkinleştiren dijital sertifikalar düzenleyerek internet güvenliğinde çok önemli bir rol oynar.
Bu sertifikalar, kullanıcılar ve web siteleri arasında iletilen verilerin gizli ve güvenli kalmasını sağlar. Ancak bu sistemin bütünlüğü büyük ölçüde CA’ların güvenilirliğine bağlıdır.
Son birkaç yıldır Entrust, endişe verici davranış kalıplarını vurgulayan çok sayıda kamuya açık olay raporunun konusu oldu.
Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan
Bunlar arasında uyum başarısızlıkları, iyileştirmeye yönelik karşılanmayan taahhütler ve güvenlik sorunlarının ele alınmasında somut ilerleme eksikliği yer alıyor.
Toplu olarak ele alındığında, Google’ın Chrome Güvenlik Ekibi, bu faktörlerin internet ekosistemi için önemli riskler oluşturduğunu ve Entrust’a olan güvenin sürdürülmesini savunulamaz hale getirdiğini belirtti.
Uygulama ve Etki
Engelleme eylemi Chrome sürüm 127’nin yayınlanmasıyla başlayacak ve Windows, macOS, ChromeOS, Android ve Linux dahil olmak üzere tüm büyük işletim sistemlerini etkileyecektir. Ancak Apple’ın politikaları nedeniyle, Chrome for iOS, Chrome Root Store’u kullanmadığı için etkilenmeyecektir.
1 Kasım 2024’ten itibaren Chrome, en eski İmzalı Sertifika Zaman Damgası (SCT) 31 Ekim 2024’ten sonraysa, aşağıdaki Entrust köklerini doğrulayan TLS sunucusu kimlik doğrulama sertifikalarına artık güvenmeyecektir:
- Kök Sertifika Yetkilisini Emanet – EC1
- Kök Sertifika Yetkilisini Emanet – G2
- Entrust.net Sertifika Yetkilisi (2048)
- Entrust Root Sertifikasyon Yetkilisi (2006)
- Entrust Root Sertifikasyon Yetkilisi – G4
- AffirmTrust Ticari
- AffirmTrust Ağı
- AffirmTrust Premium
- AffirmTrust Premium ECC
Bu tarihten önce verilen sertifikalar, süreleri dolana kadar güvenilir kalacaktır. Etkilenen sertifikalara sahip web sitelerine giden kullanıcılar, bağlantılarının güvenli olmadığını belirten tam sayfa bir geçiş reklamı uyarısı görecektir.
Entrust veya AffirmTrust sertifikalarını kullanan web sitesi operatörlerinin, 1 Kasım 2024 tarihine kadar Chrome Kök Mağazası’nda bulunan yeni bir kamuya açık güvenilen CA’ya geçiş yapmaları şiddetle tavsiye edilmektedir.
Bu proaktif önlem, operatörlerin kesintilerden kaçınmasına ve web sitelerine olan güvenin devam etmesini sağlamasına yardımcı olacaktır. Operatörler, sertifikalarının etkilenip etkilenmediğini kontrol etmek için Chrome Sertifika Görüntüleyicisini kullanabilir ve mümkün olan en kısa sürede yeni sertifikalar edinmeye ve yüklemeye başlamalıdır.
Dahili ağlar için Entrust sertifikalarını kullanan kuruluşlar, Chrome’un platformunda yerel olarak güvenilen bir kök olarak ilgili kök CA sertifikasını yükleyerek Chrome Kök Deposu kısıtlamalarını geçersiz kılabilir.
Bu, Windows’ta Grup İlkesi Nesnesi kullanmak gibi platforma özgü talimatlar aracılığıyla yapılabilir.
Google’ın Entrust sertifikalarını engelleme kararı, dijital sertifika ekosisteminde yüksek güvenlik ve uyumluluk standartlarının sürdürülmesinin önemini vurguluyor.
Kasım 2024 son tarihi yaklaşırken, etkilenen kuruluşların kullanıcıları için kesintisiz ve güvenli web etkileşimlerini sağlamak amacıyla güvenilir CA’lara geçiş yapmak için hızla harekete geçmeleri gerekiyor.
Web sitesi operatörleri nasıl doğrulayabilir?
Web sitesi operatörleri, Chrome Sertifika Görüntüleyicisi’ni kullanarak sertifikalarının Entrust veya AffirmTrust tarafından verilip verilmediğini doğrulayabilir. İşte adımlar:
- Web sitesine gidin: Kontrol etmek istediğiniz web sitesini açın (örneğin, https://www.cybersecuritynews.com).
- Güvenlik ayrıntılarını açın:
- “Ayarla” simgesini tıklayın (genellikle adres çubuğunda bir asma kilit veya benzeri bir simgeyle temsil edilir).
- “Bağlantı Güvenli” seçeneğine tıklayın.
- Chrome Sertifika Görüntüleyiciyi açmak için “Sertifika Geçerli”yi tıklayın.
- Verici ayrıntılarını kontrol edin:
- Chrome Sertifika Görüntüleyici’de “Veren” başlığının altına bakın.
- “Kuruluş (O)” alanı “Entrust” veya “AffirmTrust” içeriyorsa, sertifika bu kuruluşlardan biri tarafından verilmiştir ve işlem yapılması gerekir.
- “Kuruluş (O)” alanı “Entrust” veya “AffirmTrust” içermiyorsa herhangi bir işlem yapılmasına gerek yoktur.
Web sitesi operatörleri bu adımları izleyerek, sertifikalarının Google Chrome’da yapılacak değişikliklerden etkilenip etkilenmediğini belirleyebilir.
Google, belirli sertifika yetkililerinin (CA’lar) Entrust veya AffirmTrust’ı değiştirmesini açıkça önermemiştir. Ancak, web sitesi operatörlerine Chrome Root Store’da bulunan herhangi bir genel olarak güvenilen CA’ya geçiş yapmalarını tavsiye etmektedir. İşte yeni bir CA seçmek için bazı genel adımlar ve hususlar:
Yeni Bir CA’ya Geçiş Adımları
- Güvenilir CA’ları Belirleyin:
- Chrome Root Store’da bulunan CA’ların listesini inceleyin. Bu liste DigiCert, GlobalSign, Sectigo, Let’s Encrypt ve diğerleri gibi iyi bilinen CA’ları içerir.
- CA Tekliflerini Değerlendirin:
- Farklı CA’lar tarafından sunulan hizmetleri, fiyatlandırmayı ve desteği karşılaştırın. Sunulan sertifika türleri (örneğin, DV, OV, EV), ihraç süreleri ve müşteri desteği gibi faktörleri göz önünde bulundurun.
- Sertifika İmzalama İsteği (CSR) Oluşturma:
- Alanınız için bir CSR oluşturun. Bu işlem genellikle özel bir anahtar ve alan adı bilgilerinizi içeren bir CSR dosyası oluşturmayı içerir.
- Sertifikayı Satın Alın ve Edinin:
- İstediğiniz sertifikayı seçilen CA’dan satın alın ve gerekli doğrulama adımlarını tamamlayın. CA, alan adınızın sahibi olduğunuzu doğruladıktan sonra sertifikayı verecektir.
- Yeni Sertifikayı Yükle:
- Mevcut Entrust veya AffirmTrust sertifikasını web sunucunuzdaki yenisiyle değiştirin. Tüm yapılandırmaların yeni sertifikayı kullanacak şekilde güncellendiğinden emin olun.
- Yeni Kurulumu Test Edin:
- Yeni sertifikanın doğru şekilde yüklendiğini ve web sitenizin beklendiği gibi çalıştığını doğrulayın. Herhangi bir sorun olup olmadığını kontrol etmek için SSL Labs’ SSL Test gibi araçları kullanın.
Önerilen CA’lar
Google belirli CA’ları belirtmemiş olsa da, göz önünde bulundurabileceğiniz, yaygın olarak tanınan ve güvenilen CA’lardan bazıları şunlardır:
- DigiCert: Yüksek güvence ve hızlı ihraç süreleriyle bilinir.
- Küresel İmza: Çok çeşitli sertifikalar ve güçlü müşteri desteği sunar.
- Sectigo:Uygun fiyatlı seçenekler ve kapsamlı sertifika yelpazesi sunar.
- Hadi Şifreleyelim: Küçük web siteleri ve projeler için ideal, ücretsiz, otomatik sertifikalar sunar.
- GoDaddy:Kullanıcı dostu arayüzü ve kapsamlı desteğiyle popülerdir.
Bizi takip ederek en son siber güvenlik gelişmelerinden haberdar olun Linkedin Ve X Günlük güncellemeler için!