2012 sonu – 2013 başında ortaya çıkan TurkTrust CA sertifika ihlalinin, internet güvenliği üzerinde geniş kapsamlı etkileri oldu. TurkTrust Sertifika Otoritesi (CA) olarak, tarayıcıların ve sistemlerin güvenli HTTPS bağlantıları için güvendiği dijital sertifikalar verir.
Ağustos 2011’de TurkTrust, yalnızca normal SSL sertifikaları verilmesi gereken kuruluşlara yanlışlıkla iki ara CA sertifikası verdi. Bu sahte ara sertifikalar, herhangi bir web sitesini taklit etmek için kullanılabilir ve esasen aracı saldırılara (MITM) olanak tanıyabilir.
Sahte sertifikalardan biri, Google’ın SSL sertifikasını taklit ederek, bir Türk devlet kurumu (genellikle TÜBİTAK veya ilgili bir kuruluş olduğu düşünülen) tarafından Gmail.com’a giden trafiği engellemek için kullanıldı. Bu, gerçek dünyada HTTPS engellemesine ve TLS’nin güven modelini bozmasına yol açtı.
Ara Sertifika Yetkilisi Sertifikaları Vermek Bu sertifikalar diğer sertifikaları imzalayabilir. Yetkisiz taraflara vermek = tehlikelidir. MITM Riski Sahte sertifika, kullanıcı trafiğini engellemek ve gizliliği ihlal etmek için aktif olarak kullanıldı. Böylece Google’ın Güven Modeli Bozuldu. Yani Gmail gibi güvenilir siteler bile sahte olabilir; TLS/SSL’ye duyulan güven, sertifika yetkilisinin davranışına bağlıdır.
Nasıl Oldu?
TurkTrust CA’da (harici bir güvenlik denetiminin parçası olarak) yapılan hatalı bir test süreciydi. Bu süreç, bir CA profilinin “alt CA” sertifikaları oluşturmak üzere ayarlanmasına neden oldu ve ardından profil üretim sistemine kopyalandı ve sorun keşfedilip düzeltilene kadar iki sertifika oluşturmak için kullanıldı (test profilinin üretim sisteminden kaldırıldığını varsayıyorum), ancak bu sertifikalardan yalnızca 1’i iptal edildi.
İkinci sertifika, yaklaşık bir yıl boyunca farkedilmeden kullanıldı, ta ki bir Türk devlet kurumundaki bir BT çalışanı “ilginç” sertifikayı keşfedip “HTTPS denetimi” özelliğine sahip bir Checkpoint güvenlik duvarı ürününe yükleyene kadar. Bu özellik, bir CA sertifikasıyla birlikte yüklendiğinde, güvenlik duvarının tüm HTTPS trafiğini engellemesine, hedef web sitesi için anında yeni bir sertifika oluşturmasına ve bağlantıya “aracı” saldırısı gerçekleştirmesine neden olur. Bu sorun, Google Chrome’un Google sertifikalarına yönelik bu saldırıyı tespit ederek Google’ın web sitelerini “koruması” ve Google Genel Merkezi’nde alarm zillerinin çalması nedeniyle tespit edildi.
Bir şirkette çalışıyorsanız ve BT tarafından sağlanan bir işletim sistemi kullanıyorsanız, BT bilgisayarınıza kendi imzalı CA sertifikasını önceden yüklemiş olabilir ve tüm HTTPS trafiğinizi bilginiz olmadan takip edebilir. Bu, bazı ülkelerde yasal bile olabilir.
Bunun böyle olup olmadığını tespit etmenin tek yolu, Google Chrome’u doğrudan Google’dan indirip Gmail’e veya benzeri bir şeye erişmektir. BT sizi gözetliyorsa, tarayıcınız sizi uyarır. Ancak bu yalnızca Google’ın web siteleri için geçerlidir. BT, Google dışındaki her şeyi izlemeye karar verdiyse, Google trafiğiniz güvende olabilir; ancak diğer her şey güvende olmayacaktır.
Sonra Ne Oldu?
Bunun sonucunda küresel güvenlik reformu yapıldı. Tarayıcıların ve işletim sistemlerinin sertifika yetkilisi güvenini nasıl ele aldığına dair güncellemeler yapıldı. Bu ihlal, ülke düzeyindeki aktörlerin sertifika altyapısını kötüye kullanabileceğini de gösterdi.
Google bu olay sonucunda, sahte sertifikalara olan güveni iptal etti ve daha katı sertifika yetkilisi (CA) kuralları için baskı yaptı.
Artırılan ivme:
- Sertifika Şeffaflığı (SŞ)
- Kısa ömürlü sertifikalar
- Sertifika sahiplerinin daha güçlü denetimleri
- Güvenilir olmayan SŞ’lere yönelik tarayıcı güvensizliği
Özetle, TurkTrust ihlali, sertifika güven ekosistemindeki kritik zayıflıkları ortaya çıkardı. Ulusal bir sertifika sağlayıcının bile tehlikeli hatalar yapabileceğini veya gözetim için kötüye kullanılabileceğini gösterdi. Bir yandan da dijital güven altyapısının neden hem güçlü hem de kırılgan olduğunu ortaya koydu.
Kaynak : 