1 puan yazan GN⁺ 2024-12-01 | 1 yorum | WhatsApp'ta paylaş
  • Andrew Ayeragwa14h
    • Brezilya’daki bir sertifika otoritesi Microsoft tarafından güvenilir kabul ediliyor ve google.com için muhtemelen yetkisiz bir sertifika düzenledi. Bu, Edge ve diğer Windows uygulamalarında (Chrome ve Firefox hariç) Google’a giden trafiğin ele geçirilebilmesine yol açabilir. Microsoft’un bu sertifika otoritesiyle ilgili sorun geçmişini iyi bildiği, 2021’de endişelerini ilettiği ve 2022’deki açık CCADB tartışması sırasında da ek sorunların gündeme getirildiği belirtiliyor. Bunun bir değişimi tetiklemesi umuluyor. Windows kullanıcıları daha iyi hizmeti hak ediyor.
  • Andrew Ayeragwa12h
    • Sertifika otoritesinin yetersizliğine bir örnek olarak, bir sertifika konusu içinde Google’ın yan kuruluş seri numarasının yer alması bunun Google tarafından onaylandığı anlamına gelmez. Sertifika otoriteleri o alana istedikleri içeriği koyabilir ve bu sertifika otoritesi de sertifikaya ne koyduğunu açık biçimde doğrulamıyor.
  • Andrew Ayeragwa10h
    • Kurumsal ortadaki adam saldırısı proxy’leri çok zararlıdır.

1 yorum

 
GN⁺ 2024-12-01
Hacker News yorumları
  • ICP-Brasil, ekim ayında herkese açık SSL/TLS sertifikası düzenlemeyi resmen durdurdu: https://www.gov.br/iti/pt-br/assuntos/noticias/indice-de-not...
    Herkese açık sertifika düzenleme yasağını baypas etmekle kalmamış, Google’ın CAA kurallarını da ihlal etmiş; bu oldukça ciddi. Umarım bu sertifika otoritesi Microsoft OS’ta kalıcı olarak engellenir

    • certlm.mscye baktım; görünüşe göre bir hotfix zaten dağıtılmış ve güvenilir kök sertifika otoriteleri arasında ICP Brasil görünmüyor
  • Daha da kötüsü, hata raporunda geçen ICP-Brasilin dijital imzayla ilgili genel alanlardan sorumlu, devlet tarafından işletilen bir kurum olması
    Sözleşme veya senetleri dijital olarak imzalamaktan, vergi beyannamelerine erişime kadar işin içinde

    • Web tarayıcılarının aksine, dijital imza kullanım senaryolarında iptal kontrolü yapılması gerektiğinden google.com sertifikasını iptal etmek sorunu çözecek gibi görünüyor
  • Görüntü gerçekten kötü. Chrome ve Firefox’un bu sertifika otoritesine güveni kaldıracağını sanmıştım, ama zaten güvenmiyorlarmış
    Diğer büyük oyuncuların güvenmediği bir sertifika otoritesine Microsoft/Windows’un güveniyor olması Microsoft için daha da kötü bir tablo gibi görünüyor

    • Microsoft’un güvenlik itibarı çok kötü ve bu itibarı böyle şeyler yaptığı için kazandı
      Yakın zamanda düzelmesi de pek olası görünmüyor; yön hâlâ aşağı doğru
    • Büyük oyuncuların hiçbirinin güvenmediği bir web sertifika otoritesinin ne anlamı var, bilmiyorum
    • Büyük bir ABD tatilinde düzenlenmiş olması da iyi görünmüyor. Çünkü birçok kişi o sırada izindeydi
    • Bu sadece kötü görünmekle kalmıyor, düpedüz kötü bir şey
    • Komik olan, bunun bu sertifika otoritesiyle ilgili en yeni sorun olması
      Eskiden varsayılan olarak güvenilmiyordu ve sertifika deposuna elle eklemek gerekiyordu; Brezilya hükümeti ise resmi web sitelerinde bu sertifika otoritesini kullanmakta ısrar ediyordu
  • Microsoft, sertifika otoritelerine güvenme konusunda epey gevşek görünüyor; dahil etme kararları da şeffaf değil ve güven deposu oldukça büyük
    Makul bir web sitesi tarayıcıların, özellikle de Chrome’un güvendiği sertifikaları kullanacağından, bu ekstra sertifika otoritelerinin sağladığı fayda düşük görünüyor
    Windows kullanıcısı değilim ama Windows/Edge’de Chrome güven deposunu kullanmanın bir yolu var mı merak ediyorum. Microsoft listesine güvenmek zor olur

    • Şeffaf olmamasının nedeni, bunun satışları artırma ölçütüyle işlemesi
    • “Microsoft sertifika otoritelerine güvenme konusunda gevşek görünüyor” ifadesi epey iddialı. Tipik HN abartısı gibi duruyor
      MSFT’yi savunmaya çalışmıyorum ama devletlere OS satma deneyimi açısından kimse Microsoft’a yakın seviyede değil. MSFT’nin sertifika otoritesi eklemeyi dikkatle değerlendirdiğini düşünme eğilimindeyim
      Hollanda hükümetinin onayladığı bir sertifika otoritesinin büyük çapta hacklendiği DigiNotar olayını biliyor musunuz merak ediyorum. O sertifika otoritesi, kök sertifikası çoğu tarayıcı ve OS güven deposuna eklendikten sonra hacklendi ve yaygın biçimde güveniliyordu. O hâlde MSFT’nin DigiNotar kök sertifika otoritesine “gevşekçe” güvendiği söylenebilir mi? Mozilla Firefox için de aynı şekilde bakmanın zor olduğunu düşünüyorum
  • Böyle şeyleri görünce sertifikaların neden sertifika sahibince de imzalanmadığını merak ediyorum
    Şu anda bir sertifika otoritesi istediği açık anahtar ve alan adı için sertifika düzenleyebiliyor; kötü niyetli güvenilir bir sertifika otoritesi tüm trafiği araya girip yakalayabilir
    Sertifikada sertifika otoritesinin imzasının yanı sıra o açık anahtarın sahibinin imzası da bulunsa, sertifika otoritesi bu yeteneğe sahip olamaz gibi geliyor; neyi kaçırıyorum?

    • Bu örnekteki tüm sertifikalar için güven zinciri, kötü niyetli kök sertifika otoritesi sertifikasına güvenilmesiyle oluşuyor
      Sertifika otoritesi ya da gerçek dünyadaki bir dolandırıcılıkla sertifika otoritesini kandıran saldırgan, ikinci imzada kullanılan anahtar çiftinin “sahibi” olabilir
    • Eksik olan şey anahtar dağıtımı ve iptali için altyapı ve süreçler
      Sertifika otoritesi güven kökü için kullanılan mevcut PKI altyapısını yeniden kullanmak tek başına bunu çözmez. Açık anahtarlar veya sertifikalar DANE gibi DNS üzerinden dağıtılabilir, ama bu basit bir iş değil ve ekosistemdeki mevcut aktörlerin genelinin buna razı olması gerekir
      https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Na...
      Mevcut merkezi PKI’nın üstüne ya da yanına merkeziyetsiz, kendi kendine yönetilen güven ekleyerek bugünkü durumu iyileştirme yönündeki büyük fikri seviyorum. Daha sistemli ve dayanıklı bir yapıya giden bir basamak olabilir
    • Sertifika otoritelerinin temel amacı zaten açık anahtar doğrulaması
      Sertifika sahibinin sertifikayı imzalayacak doğrulanmış bir açık anahtarı zaten varsa sertifika otoritesine gerek kalmaz
  • Brezilya’nın neden Microsoft’ta kendi sertifika otoritesine güvenilmesini sağladığını merak ediyorum. Örneğin Kazakistan[1] bunu başaramamıştı

    1. https://en.wikipedia.org/wiki/Kazakhstan_man-in-the-middle_a...
    • Çünkü Brezilya hükümeti büyük miktarda Windows lisansı satın alıyor
  • Basit çözüm, bağımsız kuruluşların sertifika otoriteleri hakkında güven iddiaları sunması ve kullanıcının birden fazla kuruluşun değerlendirmesini birlikte dikkate alarak güvenip güvenmeyeceğine karar vermesini sağlamak olurdu
    Saldırı yolu bu kadar açıkken hâlâ böyle bir yapının olmaması şaşırtıcı

    • Bu, WebPKI sorunundan çok istemci yazılım hatasına daha yakın
      Hangi alternatif PKI yöntemini kurarsanız kurun, Microsoft’un anlaşma yapması sorunundan bağımsız olmaz
    • Sayfayı render ederken birden fazla güven deposunu kontrol eden bir tarayıcı eklentisi oldukça kolay yapılabilir gibi. Belki zaten vardır
      Sorun klavye ile sandalye arasında. Kullanıcılar zaten SSL’i anlamakta zorlanıyor. Tarayıcılar EV, DV, OV farkının fazla karmaşık olduğunu düşünüp bunu gizledi
      Büyükanneniz banka sitesini açtığında sertifika Google, Apple, Microsoft tarafından güvenilir, ama Mozilla tarafından güvenilir değilse ve tarayıcı eklentisi yeşile çalan sarı bir güven göstergesi gösterirse bunu nasıl yorumlar?
      Ne yazık ki güven ikilidir. Büyükanneniz banka yer imine tıkladığında ya bankanın web sitesini görür ya da korkutucu bir uyarı görür
  • Sadece asıl metne bakınca bunun hata mı yoksa kasıtlı mı olduğu pek anlaşılmıyor

    • Sertifika CT’ye kaydedildiğine göre, makul olarak bunun hata olduğunu varsaymak daha doğru gibi
      Çünkü yakalanması garanti olan ve ciddi maliyetle hazırlanmış işlevin kendisini tehlikeye atacak bir tartışma yaratacağı açıktı
    • Bir sertifika otoritesinin yanlışlıkla nasıl google.com sertifikası verebildiğini anlamıyorum
      Kötü niyet içermeyen bir senaryo var mı?
    • Cevap dikkatsizlik
    • Bunun önemi var mı?
  • Tahmin ama hükümet ile büyük şirket arasında kasıtlı gizli anlaşma ya da zorlama gibi geliyor
    Örneğin Brezilya hükümetinin, ülkede iş yapma hakkı karşılığında Microsoft’tan Windows cihazlarda ortadaki adam saldırısı erişimine izin vermesini istemesi gibi

    • Bunun olasılığı çok düşük görünüyor
      Hükümetler kötü planları genelde gizlice yürütür. Böyle bir iş yakalanmadan geçiştirilemeyecek kadar zor olduğu için uygulanabilir bir yöntem değil. Bu yazıyı şu anda HN’de okuyor olmanız bunun tam bir örneği
  • Devletlere veya devlet bağlantılı sertifika otoriteleri listesine sahip biri olsa iyi olurdu. Hepsini silmek istiyorum

    • Geçen yıl kısmi bir liste hazırladım [1]
      Hangi sertifika otoritesinin devlet tarafından işletildiğini veya devlet kontrolünde olduğunu belirlemek zor. Sadece adına bakarak her zaman net olmuyor; özel şirketler devlet talimatıyla çalışıyor olabilir, ayrıca yasal olarak sertifika otoriteleri devlet taleplerine uymak zorunda olabilir
      Buradakilerin tamamı, sertifika otoritesi işleten devlet veya askeri kuruluşlar olduğu çok açık olan yerlerdi; bu kez adı geçen Brezilyalı sertifika otoritesi listedeki ikinci örnek
      [1] https://alexsci.com/blog/ca-trust/#government-control-of-cas