Andrew Ayer isimli bir bağımsız güvenlik araştırmacısı, Symantec tarafından işletilen, 3 tarayıcı sertifika yetkilisinin (CA) onayladığı 108 geçersiz aktarım katmanı güvenlik sertifikasına ait kanıtları ortaya koydu. Bu sertifikalar sayesinde, bazı durumlarda Https korumalı web sitelerini aldatmak mümkün olabiliyor.
Tarayıcı firmalarının, sertifika yetkililerinden (CA) beklentisi, sertifikaların, ancak ilgili domain adı veya şirket adına göre verilmiş olmasının kontrol edilmiş olması. Dün Ayer tarafından yayınlanan araştırmaya göre, Symantec’in sahip olduğu sertifika yetkileri geçen yıl bir kaç olayda ve bu ay başında yayınladıkları 108 belgede endüstrinin bu kuralını ihlal etmiş durumdalar. Ayer’in CA bayisi SSLMate isimli bir firması var.
Endüstrinin koyduğu kurallar, uçtan uca şifrelenmiş web’in bütünlüğünü sağlamak için konulmuş durumda. Bahsedilen sertifikaların 9’u ilgili domain sahiplerinin haberi olunmadan ve izin alınmadan Symantec tarafından yayınlanmış. Kalan 99 sertifika ise, sertifikada belirtilen firma bilgileri kontrol edilmeden yayınlanmış.
Ayer’in illegal sertifikaları Symantec’e raporlamasının arkasından, uygunsuz sertifikaların birçoğu, hemen iptal edildi ama Symantec’in 2 yıl içinde 2ci kez ihlal yaptığı yakalanmış oldu. Firmanın yetkilisi konuyu soruşturduklarını, süreç tamamlandıktan sonra çözüme, sebep analizine ve düzeltici eylemlere ilişkin rapor vereceğini belirtti.
Symantec daha sonra, sorunlu sertifikaların şirketin iş ortaklarından WebTrust tarafından yayınlandığı bilgisini verdi ve “Bu iş ortağının yayınlama yetkisini soruşturma süresince kısıtladık. Bu iş ortağının yayınladığı sertifikaların bir çoğu iptal edildi.” açıklaması yaptı.
2015 yılında da, Symantec, Chrome tarayıcının sahibi Google tarafından yetkisiz Http sertifikaları için uyarılmış ve ilave tedbirler alınması istenmişti. O dönem Symantec bu sertifikaları yayınlamakla görevli elemanlarının işlerine son vermişti.
Yetkisiz sertifikalar, farkında olmayan kullanıcılar için ciddi güvenlik sorunlarına neden olabilir. Ancak uygunsuz sertifika yayınlayan tek firma Symantec de değil.
Kaynak : 