Google, popüler internet tarayıcısı Chrome'un, son bir yıl içinde "endişe verici davranış kalıpları" sergilediği gerekçesiyle iki dijital sertifika sağlayıcısına artık güvenmeyeceğini duyurdu. Bu kuruluşların güvenilirliklerinin azaldığı belirtildi.
Dünyanın dört bir yanındaki yüzlerce dijital sertifika sağlayıcısından ikisi olan Chunghwa Telecom ve Netlock, internet trafiğini şifreleyen ve sitelerin kimliğini doğrulayan dijital sertifikalar sağlıyor. Tarayıcı adres çubuğunda görünen kilit simgesi gibi, bir sitenin güvenilirliğini simgeleyen bu kriptografik kimlik bilgilerini oluşturma yeteneği sayesinde, bu kuruluşlar web güvenliği üzerinde önemli bir kontrole sahip.
Doğasında Var Olan Risk
Chrome güvenlik ekibi, "Son birkaç ay ve yılda, uyumluluk başarısızlıkları, yerine getirilmeyen iyileştirme taahhütleri ve kamuoyuna açıklanan olay raporlarına yanıt olarak elle tutulur, ölçülebilir bir ilerlemenin olmaması gibi bir dizi sorunlu davranış gözlemledik" açıklamasını yaptı. Ekip, bu faktörlerin bir araya geldiğinde ve her bir güvenilir sertifika sağlayıcısının internet için taşıdığı doğal risk göz önüne alındığında, kamu güveninin artık haklı olmadığını vurguladı.
Bu tür dijital sertifika sağlayıcısının güveninin kaybedilmesi olayları, geçmişte çeşitli nedenlerle yaşanmıştır. Chunghwa Telecom ve Netlock'un geçmişteki ihlalleri arasında şunlar bulunmaktadır:
- Netlock'un, bir yıldan uzun süre boyunca ara CA Sertifikasını ortak veritabanına bildirmemesi.
- Netlock'un, hatalı düzenlenmiş bir sertifikayı iptal etmemesi.
- Netlock'un, bir güvenlik olayıyla ilgili zorunlu haftalık güncellemeleri sağlamaması.
- Chunghwa Telecom'un, hatalı düzenlenmiş bir sertifikayı iptal etmekte gecikmesi.
- Chunghwa Telecom'un, yanlış konu alan adı yapılarına sahip çok sayıda sertifika düzenlemesi.
Chrome, 31 Temmuz'dan sonra Chunghwa Telecom ve Netlock'tan alınan tüm sertifikalara güvenmeyi bırakacak. Bu tarihten sonra düzenlenen sertifikalar, Chrome'da varsayılan olarak bir hata sayfası görüntülenmesine neden olacak. Bu erteleme, söz konusu kuruluşların müşterilerine yeni sertifika sağlayıcıları bulmaları için zaman tanımak amacıyla yapıldı.
