Google’ın Chrome tarayıcısı, önde gelen bir Sertifika Otoritesi (CA) olan Entrust tarafından verilen sertifikalara 2024’ün sonlarından itibaren güvenilmemesiyle önemli bir güvenlik hamlesi yapıyor. Bu karar, Bank of America, ESPN ve IRS.GOV gibi büyük kuruluşların da aralarında bulunduğu çok sayıda web sitesinin operasyonlarına çomak sokuyor.
Dijital sertifikalar (SSL/TLS), kullanıcılar ve web siteleri arasında güvenli bağlantıların sağlanmasında hayati bir rol oynar. Güvenilir CA’lar tarafından verilen bu sertifikalar, daha çok web siteleri için mavi onay işareti gibi bir güvenlik mührü görevi görür ve kullanıcıların web sitesinin meşruiyetini ölçmesine yardımcı olur. Ayrıca veri ihlallerini önlemek için şifreli bir iletişim sağlar.
Ancak Chrome, son altı yılda “uyum başarısızlıkları, karşılanmayan iyileştirme taahhütleri ve somut, ölçülebilir ilerlemenin olmayışı” endişe verici modeli nedeniyle Entrust’u güvenilir CA’lar listesinden çıkarıyor. Entrust’un güvenlik standartlarını koruma konusunda tekrarlanan eksiklikleri, Google’ın güvenilir bir CA olarak hareket etme becerisine olan güvenini kaybetmesine yol açtı.
“Chrome’un Entrust’a olan güveninin artık haklı olmadığı kanaatindeyiz.” – Google Chrome
Bu hamle, Entrust tarafından satın alınan daha az bilinen bir sağlayıcı olan AffirmTrust’a da uzanıyor. Bu sertifikalar, Let’s Encrypt’a (49,7%) kıyasla yalnızca küçük bir kesri (0,1%) oluştururken, Bank of America, BookMyShow, ESPN ve hatta yüksek internet trafiği hacimlerine sahip IRS.gov gibi hükümet web siteleri de Entrust tarafından sertifikalandırıldığı düşünüldüğünde, etki hala önemlidir.
Bunun Kullanıcılar ve Web Sitesi Sahipleri İçin Anlamı Nedir?
1 Kasım 2024’ten itibaren, güvenilir olmayan Entrust sertifikalarına sahip web siteleriyle karşılaşan Chrome kullanıcıları, sitenin “güvenli olmadığını” bildiren tam sayfa bir uyarıyla karşılaşacak.
Bu uyarı yalnızca 31 Ekim 2024’ten sonra verilen sertifikalar için geçerlidir ve mevcut Entrust sertifikalarına sahip web siteleri için bir muafiyet süresi sağlar. Ancak, sertifikaların ömürleri olduğundan, web sitesi sahipleri son kullanma tarihinden önce farklı bir CA’ya geçiş yapmalıdır. Pazar payı göz önüne alındığında, ücretsiz ve güvenilir bir seçenek olan Let’s Encrypt şiddetle tavsiye edilir.
Bu değişim, güvenli bir web ortamını sürdürmek için kritik öneme sahiptir. Bir CA beklentileri karşılayamadığında, tüm internet ekosistemini tehlikeye atar. Chrome’un kararı, potansiyel olarak tehlikeye atılmış sertifikalara olan güveni ortadan kaldırarak kullanıcı korumasını önceliklendirir.
Etkilenen Entrust sertifikalarını kullanan web sitesi sahipleri farklı bir CA’ya geçmek için hızlı davranmalıdır. Chrome Sertifika Görüntüleyicisi, Entrust tarafından verilen sertifikaları tanımlamak için kullanılabilir. Bu rahatsız edici görünse de, güvenlik uyarıları olmadan sürekli kullanıcı erişimini sağlamak gereklidir.
Potansiyel Geçici Çözüm Yalnızca Dahili Ağlarda
Dahili ağları yöneten büyük kuruluşlar biraz serbestliğe sahiptir. Chrome, etkilenen sertifikaları yerel ağlarına güvenilir olarak yükleyerek kuruluşların bu değişiklikleri atlatmasını sağlar. Bu, bu sertifikaları kullanan dahili web sitelerinin normal şekilde çalışmasını sağlar.
Emanet Tartışması: Daha Derin Bir Bakış
Mozilla’nın Hata İzleyicisi (Hata 1890685) hakkındaki tartışmalardan daha fazla bağlam ortaya çıkıyor. Kritik bir sorunu ortaya koyuyor – Entrust’ın 18-21 Mart 2024 tarihleri arasında verilen belirli bir Genişletilmiş Doğrulama (EV) TLS sertifika setini iptal etmemesi. Bu, kendi Sertifika Uygulama Beyanlarını (CPS) ihlal etti.
Entrust, potansiyel müşteri kafa karışıklığını öne sürerek ve herhangi bir güvenlik riskini reddederek sertifikaları iptal etmeyi tercih etti. Ancak bu karar öfkeye yol açtı. Eleştirmenler, CA sistemine olan güveni sürdürmek için uygun iptal prosedürlerinin önemini vurguladı. Entrust’un müşteri rahatlığını güvenlikten önce önceliklendirmesi, en iyi güvenlik uygulamalarına sıkı sıkıya bağlı kalma konusundaki taahhütleri konusunda endişeleri artırdı.
Mike Shaver’ın Google Grupları’ndaki ayrıntılı gönderisi duruma daha fazla ışık tutuyor. Shaver, Entrust’un WebPKI ve Mozilla Kök Mağaza Programı (MRSP) gerekliliklerine uyma becerisi konusunda şüphesini dile getiriyor. Bu endişeleri gidermeye yönelik girişimlere rağmen, Entrust’un sertifika iptali, operasyonel hesap verebilirlik ve şeffaflık konularını ele alması inceleme altında olmaya devam ediyor.
Shaver, Entrust’un güvenlik standartlarına sıkı sıkıya bağlı kalmak yerine müşteri rahatlığını önceliklendirme eğilimine dikkat çekiyor. Ayrıca organizasyonel değişikliklere ilişkin ayrıntılı bilgi eksikliğini ve Entrust’un Mozilla’nın olay müdahale gerekliliklerini karşılayamamasını da eleştiriyor. Entrust önemli iyileştirmeler ve şeffaflık gösterene kadar sertifikalarına olan güvenin devam etmesi, genel web PKI’sı ve internet kullanıcılarının güvenliği için önemli bir risk oluşturur.
Ancak bu onun sonu değil. Aslında bu buz dağının sadece görünen kısmı. Shaver’ın forumdaki yorumları, Mart ve Mayıs ayları arasında Entrust ile ilgili olarak yaşanan bir dizi uyumluluk olayına yanıt olarak geldi. Ben Wilson bu son olayları özel bir wiki sayfasında özetledi.
“Kısacası, bu olaylar, EV Yönergelerinin yanlış anlaşılması nedeniyle sertifikanın yanlış verilmesinden kaynaklandı ve ardından hatalı düzenlemeye devam etmek için kasıtlı bir karar da dahil olmak üzere olay yönetimindeki çok sayıda hata yapıldı.” Wilson dedi.
Entrust’ın katı normları ve kök deposu gereklilikleri göz önüne alındığında, bunun çok ciddi bir eksiklik olduğunu sözlerine ekledi.
Ancak Chrome’un Entrust sertifikalarına güvenmeme kararı güçlü bir mesaj gönderiyor: Kullanıcı güvenliğini önceliklendirmek, CA’ların en yüksek güvenlik standartlarını koruma sorumluluğunu üstlenmesini gerektiriyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.