TürkTrust’ın verdiği 2 adet SSL sertifikasının hatalı olduğu ve istismara açık olduklarının tespit edilmesiyle ilgili Cuma günü bir haber yazmıştık [1]. Bu konuyla ilgili çeşitli gelişmeler yaşanmaya devam ediyor. TürkTrust, 4 Ocak’ta yayınladığı ilk kamuoyu açıklamasının ardından 5 Ocak tarihinde bir açıklama daha yayınladı. Firma, hatalı sertifikayı verdiği EGO ile de temasa geçerek yayınladığı teknik açıklamalarda, sertifikanın iptaline yol açan sahte “*google.com” alan adı açılma vakasının EGO’daki güvenlik duvarı güncellemesi sonucunda gerçekleştiğini ve herhangi bir istismar durumuna dair en ufak bir kanıt bulunmadığını vurgulamakta.
Cuma gününden beri yapılan açıklamalara bakılırsa, TürkTrust’ın 2 SSL sertifikasının iptaline yol açan olay aslında şöyle gelişmiş. TurkTrust’ın müşterileri olan EGO ve KKTC Merkez Bankası Ağustos 2011’de kendi internet siteleri için kullanılmak üzere kurumdan SSL sertifikası talep etmiş. Ancak TürkTrust, kendi sistemlerini güncellerken oluşan bir hata nedeniyle Ağustos 2011’de bu iki kuruma doğru SSL sertifikaları yerine “sehven” 2 adet CA yetkili SSL sertifikası vermiş. CA yetkili sertifikalar ile sadece dahili kullanım için domain üretmek veya webmail oluşturmak yerine, google.com gibi istediğiniz herhangi bir alan adını yaratmak ve trafiği bu alan adı üzerinden geçirmek mümkün oluyor.
Açıklanan bilgilere göre, KKTC Merkez Bankası bu sertifikayla aldığı olağanüstü yetkileri hiç kullanmamış ve sertifikanın hatalı olduğunu söyleyerek sertifikayı TürkTrust’a iade etmiş. İddialara göre EGO da sertifikasını 6 Aralık 2012’ye dek kullanmamış. Ancak yine yapılan açıklamalara göre EGO 6 Aralık tarihinde güvenlik duvarı güncellemesi kurarken bir sorun yaşamış. Bunun üzerine de TürkTrust’tan alınan sertifika bu cihaza “MITM” yani “şifreli trafiği dinleme” sertifikası olarak yüklenmiş. Checkpoint firewall MITM özelliği gereğince otomatik olarak her HTTPS bağlantısı için üzerinde yüklü CA sertifikası ile asıl sertifikayı şablon olarak kullanarak yeni bir sertifika yaratmış. Dolayısıyla google.com sertifikası da, pek çok başka sertifikayla birlikte bu şekilde otomatik olarak checkpoint güvenlik duvarı tarafından yaratılmış.
Durumu yorumlayan bazı güvenlik uzmanları, TürkTrust’ın yaşadığı olayın sadece 2 sertifika ile sınırlı kaldığına ve kasıtlı bir olaydan ziyade bir hata olduğu izlenimi yarattığına dikkat çekiyorlar. Buna karşın bazı güvenlik uzmanlarıysa, KKTC Merkez Bankası’nın elindeki CA sertifikasını hatalı olarak bildirip TürkTrust’a iade ettiğinde niye TürkTrust tarafında detaylı bir analiz yapılmadığı ve bu tip bir hatanın başka bir sertifika tesliminde de yapılıp yapılmadığının niye incelenmediği sorusunu soruyorlar.
Bir başka eleştiri ise firmanın açıklama yapma usulüyle ilgili. TürkTrust’ın yayınladığı ilk kamuoyu açıklamasında [2] bu olaydan 1 paragraf ile bahsedilmesi ve herhangi bir detaya yer verilmemesi, aynı gün ilerleyen saatlerde açıklanan teknik detayların tamamen İngilizce olarak verilmesi ve kapsamlı ve Türkçe teknik açıklamanın ancak 7 Ocak tarihinde yayınlanması [4] eleştiri konusu olmakta.
Bu arada, en son duyuru olarak 307 HIDIRLIK – YENİDOĞAN – KIZILAY hattının servis saatlerinde yapılan düzenlemeyi [5] web sitesine koyan EGO Genel Müdürlüğü’nün hakkındaki onca iddiaya rağmen niye hala bir kamuoyu açıklaması yapmadığı da merak edilen konular arasında.
[2]-TürkTrust’ın İlk Kamuoyu Açıklaması
[3]-TürkTrust’ın 2. Kamuoyu Açıklaması
[4]-TürkTrust’ın Açıkladığı Teknik Detaylar
Kaynak : 