Google, SSL Sertifikaları için Şeffaflığı Zorluyor
Bir tarayıcının adres çubuğundaki asma kilidin İnternet gezginlerine güvenli olmayan sanal alanda güvenlik sağlaması gerekiyordu, ancak bu her zaman böyle olmaz. Bazı tehlikeli kusurlar asma kilit arkasında gizlenir.
Google, SSL Sertifikaları için Şeffaflığı Zorluyor
Google şifreli İnternet bağlantılarının etkinliğini zayıflatabilir ve etki alanı doğrulaması, uçtan uca şifreleme dahil olmak üzere TLS / SSL işlemlerini tehlikeye atabilir ve Google’ın SSL sertifika şeffaflığı web sitesinde bulunduğunu belirten güven sertifikası yetkililerinin zincirlerini ortaya koyar.
Şirket, kusurların web sitesi sahteciliği, sunucu kimliğine bürünme ve ortadaki adam saldırıları da dahil olmak üzere çok çeşitli güvenlik saldırıları için kapıları açık bıraktığını belirtti.
Geçmişte, bir sertifika otoritesinin hangi SSL sertifikalarını verdiğini belirlemenin bir yolu olmamıştır. Bu, bir sorun yaratır çünkü tüm sertifikalar bir Web tarayıcısı tarafından kimin yayınladığına bakılmaksızın güvenilir – bazı CA’lar diğerlerinden daha iyi güvenlik ve sahtekarlık kontrolleri olsa bile.
Venafi’deki güvenlik stratejisi ve tehdit istihbarat başkan yardımcısı Kevin Bocek, “300’den fazla sertifika veren makam var ve hepsi eşit yaratılmıyor” dedi.
Erken uyarı sistemi
Google, SSL sertifikası verme sorunuyla ilgilenmeye başladı, çünkü adında verilen suçlular ve ulus devletler tarafından dolandırıcılık ve kötüye kullanım için kullanılan sertifikaları gördü.
Sertifika verirken şeffaflığı artırmak için bir harekete öncülük ediyor. Bir CA bir SSL sertifikası verdiğinde, Google bu ihracın halka açık bir yere yayınlandığını bildirmek ister.
Bu halka açık alan, sertifikaların onaylanmadan önce postalanabileceği birkaç günlük sunucusu haline geldi. Hangi sertifikaların yayınlanmasından önce ilgilendiğini kimsenin yayınlanmadan önce görmesi için verir.
“Bu günlük sunucularından birini izliyorsam ve etki alanım için bir sertifika görüyorsam ve bu sertifikayı istemediğimi ve bu sertifika yetkilisiyle iş yapmadığımı biliyorum, alarm zilleri çalmalı” Bocek TechNewsWorld’e söyledi.
CA Ekosistemini Ayıkla
Şeffaflık, cert sistemindeki tüm hastalıklar için her derde deva değil.
Comodo baş teknik sorumlusu Robin Alden, “Sertifika şeffaflığı tüm güven sorunlarını çözmüyor, ancak sertifika yanlışlığının olaydan sonra algılanmasını sağlamak için iyi bir yol sunuyor,” dedi.
Kötü SSL sertifikaları tespit edilebiliyorsa, CA’ların yetkilerini kasten kötüye kullanmaları veya yanlışlıkla hatalı sertifikalar çıkarmaları daha kolay olacaktır, dedi TechNewsWorld’e.
Her iki durumda da, “hataları daha sonra değil, daha erken zamanda bulunacak ve bu tür hataların etkisini azaltmaya yardımcı olacak” dedi.
“CA’lar için yaygın olarak kabul edilmiş standartlar ve bir dış denetim rejimi ile birlikte, sertifika şeffaflığı hem CA’lara olan güveni güçlendirmede hem de yetersiz ya da kötü niyetli CA’ları ortadan kaldırmaya yardımcı olabilir” dedi.
Riski azaltır
Şeffaflık sorunları çözebilirken, iyi niyetli davranan CA’lar, bir CA kırılırsa, tüm bahisler kapalıdır, SSL sertifikaları verme ile karşı karşıya kalabilir.
Bunun nedeni, eğer kötü bir oyuncu, sertifika vermek için CA’nın makinesinin kontrolünü ele geçirebiliyorsa, bu sertifikalar herhangi bir Sertifika Şeffaflığı sunucusunda görünmez. Aynısı, bir CTS’ye önceden yayınlamadan cer veren sorunsuz CA’lar için de geçerlidir.
Venafi Bocek, “Şeffaflık riski azaltmaya yardımcı oluyor.” Dedi. “Onu ortadan kaldırmıyor.”
Bununla birlikte, Google bazı durumlarda sertifika sahiplerinin sertifikalarını güvenmelerini sağlamak için bu bilgisayar korsanlarının ve gece uçan CA’ların bile zorlamasını sağlamıştır.
Bocek, “Google, en yüksek güven düzeyine sahip bir sertifika verirseniz – uzatılmış doğrulama sertifikası – bu sertifikayı bir Sertifika Şeffaflığı günlük sunucusunda hazırlamanız gerekir” dedi.
Acil mesele
EV sertifikalarına sahip web siteleri, bir tarayıcının adres çubuğunda diğer web sitelerinden farklı olarak görüntülenir. Asma kilit simgesinin yanındaki yeşil alan daha uzundur ve genellikle sertifika sahibi hakkında daha fazla bilgi görüntüler.
CloudFlare’dan bir programcı olan John Graham-Cumming, TechNewsWorld’e verdiği demeçte, “Bu onay için başvuruda bulunan kişinin bu sertifika için başvuran kişinin büyük bir çaba göstermesi gerekiyor, çünkü bu işin onlar olduğunu kanıtlamaları gerekiyor.”
Şu anda sertifikalarla ilgili problemleri çözme konusunda acil bir durum var, özellikle de tüm federal hükümet web sitelerinin dijital bir sertifikaya sahip olması zorunlu olmadan önce tam olarak uygulanıyor.
Bocek, “Bu sertifika yetkilileri için riskleri artırıyor. Daha fazla hedef haline gelecekler.” Dedi.
“Dijital sertifika satan yeraltı pazarları olduğunu biliyoruz” dedi. “Hızlıca izlenebilecek bir mal.”
Yargı Düzeltme Yasası
Avrupalı yetkililer geçen hafta Amerikan şirketleri tarafından depolanan vatandaşlarının kişisel bilgilerinin Avrupa Birliği gizlilik standartlarına uymasını sağlamak için kampanyalarına devam etti.
İrlanda Yüksek Mahkemesi, AB kullanıcılarından toplanan verilerin ABD’nin gözetiminden uygun şekilde korunmasını sağlamak için bir Facebook soruşturması yapılmasını istedi
