TurkTrust’ın 2 müşterisine sağladığı SSL ara sertifikaların (intermediate CA certificate) hatalı olduğu ortaya çıktı. Google, Mozilla ve Microsoft şirketleri konuyla ilgili güvenlik bültenlerinde açıklamalar yayınladılar ve IE, Chrome ve Firefox’ta yetkisiz sertifikaların bloke edildiğini duyurdular. Söz konusu müşterilerden birisinin Ankara’nın toplu taşımasını yöneten EGO Genel Müdürlüğü olduğu ve bu kurumun sahte Google ve Gmail alan adları yaratarak kurum çalışanlarına ait iletişimi izlemiş olabileceği ileri sürülüyr. Diğer sertifikanın ise KKTC Merkez Bankası’na verildiği ancak kullanılmadığı söyleniyor.
SSL sertifikaları sorun olmaya devam ediyor. Hatırlarsanız geçtiğimiz sene DigiNotar’a ait 550 kadar SSL güvenlik sertifikası hackerların eline geçmiş ve ufak çaplı bir kriz yaşanmıştı [1]. Şimdi ise tüm web tarayıcılar tarafından güvenli bir sertifika sağlayıcısı olarak tanınan TurkTrust’ın verdiği 2 intermediate CA sertifikasının hatalı olarak verildiği ortaya çıktı. Google güvenlik blogu aracılığıyla yaptığı duyuruda, 24 Aralık tarihinde “*.google.com” alan adı için kullanılan bir dijital sertifikanın yetkisiz olduğunu saptadıklarını ve bu sertifikayı bloke ettiklerini açıklamakta. Google ayrıca TurkTrust ile iletişime geçerek sertifikanın hatalı bir biçimde dağıtıldığına dair onay aldıklarını ve diğer tarayıcı sağlayıcılarını da (Microsoft ve Mozilla Vakfı) durumdan haberdar ettiklerini açıklamakta.
Mozilla tarafından yayınlanan güvenlik bültenine göre söz konusu sertifikalar kullanarak MITM (man-in-the-middle) olarak bilinen bir saldırı yöntemini kullanmak mümkün hale gelmekte. Bu yöntemde, bir network üzerinde kurban bilgisayar ile diğer ağ araçları (yönlendirici, switch, modem ya da server gibi) arasına girerek verileri yakalama ve şifrelenmemiş verileri görebilmek mümkün hale geliyor. Sahte dijital sertifika kullanıldığında, kurbanlar güvenli bir biçimde Google veya Gmail gibi bir web sayfasına girdiklerini sanıyorlar ancak yönlendirme yapıldığı için, uygun anahtarlar da mevcutsa tüm iletişimi takip etmek mümkün oluyor.
TurkTrust’ın hatalı bir biçimde sertifika verdiği müşterilerinden birisinin Ankara’da toplu taşıma sistemlerini yöneten resmi kurum durumundaki EGO Genel Müdürlüğü olduğu, diğer müşterinin ise KKTC Merkez Bankası olduğu görülmekte. İddialara göre KKTC Merkez Bankası için verilen sertifika kullanılmamış. EGO için verilen sertifika ise kullanılmış. Kullanılan sertifika ile sahte bir google.com alan adı tanımlaması yapıldığı söyleniyor. Dolayısıyla güvenlik uzmanları, EGO’nun kendi çalışanlarına ait google arama bilgilerini ve gmail hesap hareketlerini kontrol etmiş olabileceğini ileri sürmekteler.
TurkTrust firması yayınladığı kamuoyu açıklamasında [2] ve tarafı olduğu İnternet tarayıcı forumları ve konu uzmanlarından oluşan listelerle paylaşılan detaylı teknik açıklamada [3] hatanın Ağustos 2011’de yapıldığını duyuruyor. TurkTrust’a göre söz konusu 2 sertifikadan 1’inin müşterinin talebi üzerine hiç kullanılmadan geri çekilmiş olduğu diğer sertifikanın ise 6 Aralık tarihinde sahte bir google.com alan adı yaratmak için kullanıldığı saptanmış. TurkTrust’ın kamuoyuna yönelik açıklamasında şu ifadeler öne çıkıyor:
“ETSI TS 102 042 ESHS Yönetim Sistemi Standardı” belgelendirme süreci içinde, Mayıs-Kasım 2011 tarihleri arasında sistemlerimizde iyileştirme ve geliştirme çalışmaları yürütülmüştür. Bu çalışmalar sırasında, yazılım güncelleme ve veri taşıma kusuruna bağlı olarak aynı üretim paketinde yer alan iki adet SSL sertifikasının Ağustos 2011’de hatalı olarak üretildiği Aralık 2012 tarihinde tarafımıza İnternet tarayıcıları tarafından yapılan bildirimle anlaşılmıştır. Bildirimin ardından geçerli olan sertifika derhal iptal edilmiş, tüm sistemlerimiz ayrıntılı biçimde incelenerek sorunun kaynağı kesin olarak saptanmıştır.
Yapılan incelemeler sonucunda, söz konusu hatalı üretimin sadece bir kez gerçekleştiği, sistemlerimize herhangi bir müdahalenin söz konusu olmadığı, hatalı üretim sonucu ortaya çıkan bir zarar bulunmadığı tespit edilmiştir.
TÜRKTRUST’ın sahip olduğu ve 2011 Aralık ayından bu yana uluslararası standartlara uygunluğu belgelendirilmiş güçlü ve güvenilir teknik altyapısı, bu ve benzeri sorunların yeniden yaşanmasını kesin olarak engellemektedir. TÜRKTRUST, sadece ülkemizde değil dünyada da söz sahibi bir ESHS olma amacından en ufak bir sapma göstermeksizin çalışmalarına kesin bir kararlılıkla devam etmektedir.”
TurkTrust, yaptığı açıklamalarda özetle güvenilir bir SSL sertifika sağlayıcısı olarak çalışmalarına devam edeceğini vurgulamakta. Google ve Microsoft firmaları da sadece söz konusu 2 sertifikayı bloke etmiş durumda ve diğer TurkTrust sertifikaları çalışmaya devam ediyor. Ancak Mozilla Vakfı, daha radikal bir tedbir uygulamakta ve TurkTrust’ın kök sertifikalarını da incelemeye almış durumda.
TurkTrust, Türk Silahlı Kuvvetlerine bağlı olan Elele Vakfı’nın bir kuruluşu olarak, 14 Temmuz 2004 tarihinde kurulmuş ve 2 Ağustos 2004 tarihinde 12 Milyon YTL (12 Trilyon TL) sermaye ile ticaret sicilde tescil edilmiş bir şirket. Firma, 2005 yılından bu yana 5070 Sayılı Elektronik İmza Kanunu kapsamında yetkili elektronik sertifika hizmet sağlayıcı (ESHS) olarak hizmet vermekte.
[2]-TurkTrust’ın Kamuoyu Açıklaması
[3]-TurkTrust’ın Teknik Açıklaması (İngilizce)
Kaynak : 