İnternet Explorer kök sertifika SORUNU!..

[osC++CoDeR]

İnternet Explorer kök sertifikalarını Operada olduğu gibi yönetememek baya sıkıntılı bir durum. Operada olduğu gibi X sertifikalı bir siteye girdiğimde uyarı mesajı almak istiyorum yada Y sertifikası ile imzalı bir siteye hiç giriş olmasın istiyorum. İllaki 3. parti mi kullanalım...

 

[osC++CoDeR]

Güvenmediğimiz sertifikayı kaldırmak bir yana güvenilmeyenler bölümüne bile taşıyamıyoruz

 

[osC++CoDeR]

Güvenilen kök sertifikalar arasında süresi yıllar önce dolmuş olan sertifikalar var.

 

[osC++CoDeR]

Arkadaşlar bu olay ciddi, DigiNotar olayını hatırlıyorsanız benzer bir vaka ile karşı karşıya olabiliriz. Bu kez sahnede TURKTRAST var...

 

[re13el]

Düzenli olarak konuyu güncel tutmaya çalışsan da pek bakan yok herhalde.

 

[osC++CoDeR]

Düzenli olarak konuyu güncel tutmaya çalışsan da pek bakan yok herhalde.

Konuya bakılıp bakılmaması umrumda değil ki, esas haber konusunu bir editör görüp haber olarak girer mi diye güncel tutuyorum. Kaspersky bilgi vermiş ancak ciddiye alan yok, Diginotarın sonunu düşünürsek TURKTRUST pek duyurulmak istenmiyor gibi. 2011 den beri bitmiyor sorunları... Boşa SSL kullanıyoruz

 

[re13el]

Diğer tarayıcılarda da durum böylemi peki?

 

[osC++CoDeR]

Diğerlerini bilmem ama operada güvenilen kök sertifikaları bile silebilir yada o sertifikaya sahip bir sayfaya girerken uyarı alıp istemiyosan sayfaya girilmesini engelleyebililyorsun.

 

[REDFOKS]

Türk sertifika kurumu TürkTrust‘ın 2011 yılının Ağustos ayında yanlışlıkla dağıttığı iki sertifika, aradan geçen bir buçuk yılın ardından geçtiğimiz hafta Google tarafından fark edilerek sahte oldukları gerekçesiyle iptal edildi. Google’ın uyarısını takiben Microsoft ve Mozilla şirketleri de söz konusu sahte sertifikaları iptal ettiklerini açıkladı.
Google’ın resmi blogundan yapılan açıklamada, 24 Aralık tarihinde Chrome üzerinde biri *.google.com” uzantılı olmak üzere iki yetkisiz güvenlik sertifikasına rastlandığı ve bunların bloke edildiği belirtiliyor. Yaptığı araştırmada sorunun TürkTrust tarafından verilen aracı sertifikadan kaynaklandığını öğrendiklerini ifade eden Google, bu durumun taklit amacıyla herhangi bir web sitesi için bir sertifika oluşturmada kullanılmasına yol açabileceğinin altını çizdi.
İki sertifikanın sadece biri izinsiz site oluşturmak için kullanılırken, Chrome’da güncellemeye giden Google, diğer şirketleri de uyardı. Microsoft, yayınladığı “Microsoft Security Advisory (2798897)” adlı belgede Google ile benzer bir açıklama yaparak TürkTrust bağlantılı sertifikaları engellediğini duyurdu. “*.EGO.GOV.TR” ve “e-islam.kktcmerkezbankasi.org” adresli iki yanlış sertifika yetkilendirmesi bulgusuna ulaştıklarını kaydeden şirket, bunların bir tanesinin sahte dijital sertifikalar oluşturulmasında kullanıldığına dikkat çekti.
Mozilla ise kendi duyurusunda Türktrust’ın kök sertifikaları dahil bütün eylemlerini askıya aldığı bilgisini paylaştı. TürkTrust’ın kök dosyasındaki değişiklik talebini değerlendirmeye alan şirket, aldığı önlemleri uygulamaya devam etti.
TürkTrust cephesinde ise durum vahim. Bir sertifika kurumu olarak itibarı uluslararası çapta yara alan şirket savunmasında, olayın 2011 yılının Ağustos ayında şirketlere SSL sertifikası yerine yanlışlıkla CA sertifikası verilmesinden ibaret olduğunu, arkasında herhangi bir güvenlik ihlali, saldırı veya hack amacı bulunmadığını vurguladı. Sorunun özünde sadece bir hatalı veri taşıma işleminin yattığına değinen şirket, denetimlerinin başarılı bir şekilde devam ettiğini ekledi.

kaynak

 

[osC++CoDeR]

2011 yılının Ağustos ayında şirketlere SSL sertifikası yerine yanlışlıkla CA sertifikası verilmesinden ibaret olduğunu, arkasında herhangi bir güvenlik ihlali, saldırı veya hack amacı bulunmadığını vurguladı. Sorunun özünde sadece bir hatalı veri taşıma işleminin yattığına değinen şirket, denetimlerinin başarılı bir şekilde devam ettiğini ekledi.

O şirketler hangi şirketler acaba? Adamlar CA ile istedikleri gibi kod imzalayıp hiçbir güvenlik (Antivirüs, Firewall, Hips vs.) Programına takılmadan istedikleri gibi at koşturdularsa kimsenin ruhu bile duymadı! Rahat olun arkadaşlar kaygılanacak bir durum yok muş

 

[osC++CoDeR]

Geçerli bir sertifika ile virüs yada kısaca trojan imzalayıp insanların bilgisayarına haberi olmadan belge yükleyip darpe planlarını ortaya çıkarabilirsiniz Başımızdaki siyasi otoritenin bu şirketlere yada daha vahimi kök sertifika sağlayıcısına nüfus ettiğini düşünemiyorum bille.