Malicious Apps In Play Store

Google’ın Symantec SSL Sertifikaları Kararı Belli Oldu

 

Temmuz’dan beri konuÅŸulan anlaÅŸma sonunda gerçekleÅŸti. Eski Symantec sertifikaları önümüzdeki yıl Chrome’dan kaldırılacak.

Birkaç gün önce, 11 Eylül 2017 tarihinde bir grup Google çalışanı, Google Güvenlik Blogu’nda bir yazı yayınlayarak Google ile Symantec arasındaki kök sertifikalar planının son aÅŸamaya ulaÅŸtığını dile getirmiÅŸti.

Aslında bu tam olarak yeni sayılmaz. Her ne kadar son blog yazısı medyanın epey ilgisini çekse de, aslında bu anlaÅŸma Temmuz ayında ayarlanmıştı ve ÅŸimdi Symantec web sertifikaları iÅŸini DigiCert’e sattığı için de tekrar güncellendi. Aslında Google’ın duyurusunda geçen ilk cümle de her ÅŸeyi özetliyor:

‘Bu yazı, zaten sonuçlandırılmış planların daha geniÅŸ bir duyurusudur.

Yani artık her ÅŸey açığa kavuÅŸtu ve ne anlama geldiÄŸini konuÅŸmak gerekiyor. Bu noktada Symantec’in kendi hatalarının kurbanı olduÄŸunu ve Google’ın da haksız yere hareket etmediÄŸini söylemek gerekiyor. Her ne kadar Symantec’in güvenilir sertifikalar listesinden çıkarılması sert bir cezalandırma gibi gözükse de, herkese ders olacak bir karar verilmesi bütün Sertifika Otoriteleri ekosistemi için faydalı bir karar.

Google ve Symantec’e Ne Olacak?

Öncelikle, bu hikayedeki ilk hatayla baÅŸlayalım: bu sadece Google ve Symantec arasındaki bir olay. Hayır, deÄŸil! Google, web tarayıcısı topluluÄŸunun lideri konumunda fakat anlaÅŸmazlık aslında Symantec ile bütün tarayıcılar arasında.

Son birkaç yıl içinde Symantec tarafından bir dizi yanlış karar verildi. Ä°lk olarak 2015 yılında Google ile sorun yaÅŸandı. Bir yıl sonra, problemler iyice büyüdü çünkü güvenlik uzmanları, firmanın test sertifikalarında hatalar gördüler.

Bu noktada Google baÅŸta olmak üzere pek çok web ekosistemi, Symantec’in hatalı yayınlarının aslında firmanın doÄŸrulama prosedürlerinde daha ciddi sorunlara iÅŸaret ettiÄŸini düÅŸünmeye baÅŸladı. Bir miktar araÅŸtırmadan sonra, birkaç Symantec bölgesel ortağının çeÅŸitli bölgelerde endüstri standartlarına uymayan iÅŸlemler yaptıkları öÄŸrenildi.

Baktığımızda, iki tarafın da birbirinden tamamen uzak savunmaları var. Symantec, bu sertifikaların asla kamu kullanımına sunulmadığını ve test amaçlı bulunduÄŸunu söylüyor. Ve yine Symantec, kimsenin zarar görmediÄŸini iddia ediyor.

Buna raÄŸmen Google (Mozilla ve diÄŸerleri de dahil) ise yanlış yayınlamaların test sertifikalarında ya da diÄŸerlerinde olmasıyla ilgilenmiyor. Arama motoru devine göre yine de durum ciddi. Firma hatalı yayınları tamamen kabul edilemez bulurken, bu yüzden de Symantec’e güvenmekte zorluk yaşıyor.

Güvenilir Rootlar ve Açık Anahtar Altyapısı (PKI)

Güvenilir Sertifika Otoritelerini konuÅŸurken, aslında temelde iki varlığı konuÅŸmuÅŸ oluyoruz: PKI ve SSL ÅŸifrelemesi. Bu iki kavram da güvenilir root sertifikaları için gerçekte asıl önemli olan ÅŸeyler. Güvenilir bir root, güvenilir dijital sertifikaların yayınlanmasına da izin verir. Güvenilir kökler aynı zamanda web tarayıcılarında da önceden yüklü hâlde bulunur. Bunları aniden ortaya çıkarmak mümkün deÄŸildir. Çok fazla emek gerektirir ve bir ÅŸirket artık sahip olduÄŸunda, iyi koruması gereklidir.

Bir firma Sertifika Yetkilisi (CA) edindiÄŸinde asıl önemli olan roottur. Symantec ise rootlarını Verisign’dan almaktaydı. Yani Symantec CA’dan bahsederken, aslında orijinal Verisign rootlarından bahsetmiÅŸ oluyoruz. Ve bu da Sertifika Otoritelerini tartışırken ortaya çıkan baÅŸka bir konu. Güvenilir rootunuz ve onu yönetecek bir organizasyonunuz oluyor.

Peki bu faktör Google-Symantec tartışmalarına nasıl yansıdı? Google’a göre Symantec’in hatalı yayınları bütün açık anahtar altyapısını bozdu. Tüm bu rootlar artık Google’ın gözünde güvensiz konuma geldi ve böylece Symantec ile olan pazarlıklar da baÅŸladı.

Ekstra parçaları bir kenara atarsak, iki firmanın arasındaki temel olay ÅŸuydu: Google, PKI’da deÄŸiÅŸiklikler yapılmadığı müddetçe Symantec’e artık güvenmeyecekti. Pazarlıklar da bu eksende yapıldı ve Symantec’ten gerekli deÄŸiÅŸiklikler talep edildi. Ancak böyle müÅŸteriler sertifikaları güvenilir olarak kullanmaya devam edebilecekti.

Bu anlaşma da Temmuz ayının sonunda sonuca ulaştı.

Google/Symantec Anlaşması Nedir?

Google, Symantec SSL’lerini tanımaya ve güvenilir olarak iÅŸaretlemeye devam etmeyi kabul etti. Symantec de PKI konusunda gerekli adımları attı ve kendi altyapısını oluÅŸturdu.

1. Symantec’in eski Verisign rootları resmi olarak Chrome 66’da (17 Nisan 2018) güvensiz olarak iÅŸaretlenecek.

2. Symantec, CA iÅŸletmesini DigiCert’e sattı.

3. DigiCert, Aralık 2017’den itibaren Symantec için yayın yapmaya baÅŸlayacak. Etkilenen Symantec SSL sertifikalarının da 2018’de deÄŸiÅŸtirilmesi gerekecek.

Yani sektörde olmayanlar için öetlersek, Symantec CA operasyonlarını neredeyse 1 milyar dolar ve yüzde 30 ÅŸirket hissesi karşılığında DigiCert’e aktarmayı kabul etti. DigiCert artık dijital sertifikaların yayınını Symantec yerine gerçekleÅŸtirecek. Bu ÅŸekilde de Google, Symantec sertifikalarını güvenilir kabul etmeye devam edecek.

Tabii bu arada, VeriSign’ın rootları için de beklenen son geldi ve yıl sonuna kadar tamamen ölmüÅŸ olacaklar.

Ne Zaman Tamamlanacak?

Google’ın güvenlik blogunda, eski Symantec rootlarının güvensiz kabul edileceÄŸi tarihler de verildi. Buna göre 15 Mart 2018’e kadar Symantec tarafından 1 Haziran 2016 öncesinde verilmiÅŸ TLS sunucu sertifikaları kullananlar, bunları güvenilir bir sertifika yetkilisiyle deÄŸiÅŸtirmek zorunda.

 

 

 

1 Aralık 2017’de ise Symantec ile DigiCert’in resmi çalışmaları baÅŸlayacak ve firmaya tam yayınlama yetkisi verilecek. Bu noktadan sonra kullanılan herhangi bir eski Symantec altyapısı, gelecekteki Chrome güncellemeleriyle de çalışmayacak. Chrome 70’den sonra da SSL kullanmak isteyenlerin yeni DigiCert sertifikalarına geçmeleri gerekecek.

15 Mart 2018’de ise Chrome 66’ın beta sürümü yayınlanacak ve 1 Haziran 2016 öncesi yayınlanmış tüm Symantec sertifikaları kaldırılacak. 17 Nisan 2018’de ise Chrome 66’ın stabil sürümü çıkmış olacak.

Ne ÖÄŸrendik?

Ä°ÅŸte bugünün haberinden öÄŸrendiklerimiz:

- Google’ın Symantec rootları hakkındaki çalışmaları yeni deÄŸildi, sadece DigiCert’le olan ortaklıktan sonra güncellenmiÅŸ oldu.

- DigiCert, 2017 Aralık ayından itibaren Symantec’in adına dijital sertifika iÅŸlemlerini yürütecek.

 

- Åžu andaki Symantec müÅŸterilerinin Nisan 2018’e kadar eyleme geçmelerine gerek yok fakat o tarihten sonra yeni bir sertifika edinmeleri ÅŸart.