Temmuz’dan beri konuşulan anlaşma sonunda gerçekleşti. Eski Symantec sertifikaları önümüzdeki yıl Chrome’dan kaldırılacak.
Birkaç gün önce, 11 Eylül 2017 tarihinde bir grup Google çalışanı, Google Güvenlik Blogu’nda bir yazı yayınlayarak Google ile Symantec arasındaki kök sertifikalar planının son aşamaya ulaştığını dile getirmişti.
Aslında bu tam olarak yeni sayılmaz. Her ne kadar son blog yazısı medyanın epey ilgisini çekse de, aslında bu anlaşma Temmuz ayında ayarlanmıştı ve şimdi Symantec web sertifikaları işini DigiCert’e sattığı için de tekrar güncellendi. Aslında Google’ın duyurusunda geçen ilk cümle de her şeyi özetliyor:
‘Bu yazı, zaten sonuçlandırılmış planların daha geniş bir duyurusudur.’
Yani artık her şey açığa kavuştu ve ne anlama geldiğini konuşmak gerekiyor. Bu noktada Symantec’in kendi hatalarının kurbanı olduğunu ve Google’ın da haksız yere hareket etmediğini söylemek gerekiyor. Her ne kadar Symantec’in güvenilir sertifikalar listesinden çıkarılması sert bir cezalandırma gibi gözükse de, herkese ders olacak bir karar verilmesi bütün Sertifika Otoriteleri ekosistemi için faydalı bir karar.
Google ve Symantec’e Ne Olacak?
Öncelikle, bu hikayedeki ilk hatayla başlayalım: bu sadece Google ve Symantec arasındaki bir olay. Hayır, değil! Google, web tarayıcısı topluluğunun lideri konumunda fakat anlaşmazlık aslında Symantec ile bütün tarayıcılar arasında.
Son birkaç yıl içinde Symantec tarafından bir dizi yanlış karar verildi. İlk olarak 2015 yılında Google ile sorun yaşandı. Bir yıl sonra, problemler iyice büyüdü çünkü güvenlik uzmanları, firmanın test sertifikalarında hatalar gördüler.
Bu noktada Google başta olmak üzere pek çok web ekosistemi, Symantec’in hatalı yayınlarının aslında firmanın doğrulama prosedürlerinde daha ciddi sorunlara işaret ettiğini düşünmeye başladı. Bir miktar araştırmadan sonra, birkaç Symantec bölgesel ortağının çeşitli bölgelerde endüstri standartlarına uymayan işlemler yaptıkları öğrenildi.
Baktığımızda, iki tarafın da birbirinden tamamen uzak savunmaları var. Symantec, bu sertifikaların asla kamu kullanımına sunulmadığını ve test amaçlı bulunduğunu söylüyor. Ve yine Symantec, kimsenin zarar görmediğini iddia ediyor.
Buna rağmen Google (Mozilla ve diğerleri de dahil) ise yanlış yayınlamaların test sertifikalarında ya da diğerlerinde olmasıyla ilgilenmiyor. Arama motoru devine göre yine de durum ciddi. Firma hatalı yayınları tamamen kabul edilemez bulurken, bu yüzden de Symantec’e güvenmekte zorluk yaşıyor.
Güvenilir Rootlar ve Açık Anahtar Altyapısı (PKI)
Güvenilir Sertifika Otoritelerini konuşurken, aslında temelde iki varlığı konuşmuş oluyoruz: PKI ve SSL şifrelemesi. Bu iki kavram da güvenilir root sertifikaları için gerçekte asıl önemli olan şeyler. Güvenilir bir root, güvenilir dijital sertifikaların yayınlanmasına da izin verir. Güvenilir kökler aynı zamanda web tarayıcılarında da önceden yüklü hâlde bulunur. Bunları aniden ortaya çıkarmak mümkün değildir. Çok fazla emek gerektirir ve bir şirket artık sahip olduğunda, iyi koruması gereklidir.
Bir firma Sertifika Yetkilisi (CA) edindiğinde asıl önemli olan roottur. Symantec ise rootlarını Verisign’dan almaktaydı. Yani Symantec CA’dan bahsederken, aslında orijinal Verisign rootlarından bahsetmiş oluyoruz. Ve bu da Sertifika Otoritelerini tartışırken ortaya çıkan başka bir konu. Güvenilir rootunuz ve onu yönetecek bir organizasyonunuz oluyor.
Peki bu faktör Google-Symantec tartışmalarına nasıl yansıdı? Google’a göre Symantec’in hatalı yayınları bütün açık anahtar altyapısını bozdu. Tüm bu rootlar artık Google’ın gözünde güvensiz konuma geldi ve böylece Symantec ile olan pazarlıklar da başladı.
Ekstra parçaları bir kenara atarsak, iki firmanın arasındaki temel olay şuydu: Google, PKI’da değişiklikler yapılmadığı müddetçe Symantec’e artık güvenmeyecekti. Pazarlıklar da bu eksende yapıldı ve Symantec’ten gerekli değişiklikler talep edildi. Ancak böyle müşteriler sertifikaları güvenilir olarak kullanmaya devam edebilecekti.
Bu anlaşma da Temmuz ayının sonunda sonuca ulaştı.
Google/Symantec Anlaşması Nedir?
Google, Symantec SSL’lerini tanımaya ve güvenilir olarak işaretlemeye devam etmeyi kabul etti. Symantec de PKI konusunda gerekli adımları attı ve kendi altyapısını oluşturdu.
1. Symantec’in eski Verisign rootları resmi olarak Chrome 66’da (17 Nisan 2018) güvensiz olarak işaretlenecek.
2. Symantec, CA işletmesini DigiCert’e sattı.
3. DigiCert, Aralık 2017’den itibaren Symantec için yayın yapmaya başlayacak. Etkilenen Symantec SSL sertifikalarının da 2018’de değiştirilmesi gerekecek.
Yani sektörde olmayanlar için öetlersek, Symantec CA operasyonlarını neredeyse 1 milyar dolar ve yüzde 30 şirket hissesi karşılığında DigiCert’e aktarmayı kabul etti. DigiCert artık dijital sertifikaların yayınını Symantec yerine gerçekleştirecek. Bu şekilde de Google, Symantec sertifikalarını güvenilir kabul etmeye devam edecek.
Tabii bu arada, VeriSign’ın rootları için de beklenen son geldi ve yıl sonuna kadar tamamen ölmüş olacaklar.
Ne Zaman Tamamlanacak?
Google’ın güvenlik blogunda, eski Symantec rootlarının güvensiz kabul edileceği tarihler de verildi. Buna göre 15 Mart 2018’e kadar Symantec tarafından 1 Haziran 2016 öncesinde verilmiş TLS sunucu sertifikaları kullananlar, bunları güvenilir bir sertifika yetkilisiyle değiştirmek zorunda.
1 Aralık 2017’de ise Symantec ile DigiCert’in resmi çalışmaları başlayacak ve firmaya tam yayınlama yetkisi verilecek. Bu noktadan sonra kullanılan herhangi bir eski Symantec altyapısı, gelecekteki Chrome güncellemeleriyle de çalışmayacak. Chrome 70’den sonra da SSL kullanmak isteyenlerin yeni DigiCert sertifikalarına geçmeleri gerekecek.
15 Mart 2018’de ise Chrome 66’ın beta sürümü yayınlanacak ve 1 Haziran 2016 öncesi yayınlanmış tüm Symantec sertifikaları kaldırılacak. 17 Nisan 2018’de ise Chrome 66’ın stabil sürümü çıkmış olacak.
Ne Öğrendik?
İşte bugünün haberinden öğrendiklerimiz:
- Google’ın Symantec rootları hakkındaki çalışmaları yeni değildi, sadece DigiCert’le olan ortaklıktan sonra güncellenmiş oldu.
- DigiCert, 2017 Aralık ayından itibaren Symantec’in adına dijital sertifika işlemlerini yürütecek.
- Şu andaki Symantec müşterilerinin Nisan 2018’e kadar eyleme geçmelerine gerek yok fakat o tarihten sonra yeni bir sertifika edinmeleri şart.
.png)
