Yalnızca Microsoft’un güvendiği Brezilyalı sertifika otoritesi, `google.com` için sertifika verdi

 (follow.agwa.name)
1 puan yazan GN⁺ 2024-12-01 | 1 yorum | WhatsApp'ta paylaş
  • Andrew Ayeragwa14h
    • Brezilya’daki bir sertifika otoritesi Microsoft tarafından güvenilir kabul ediliyor ve google.com için muhtemelen yetkisiz bir sertifika düzenledi. Bu, Edge ve diğer Windows uygulamalarında (Chrome ve Firefox hariç) Google’a giden trafiğin ele geçirilebilmesine yol açabilir. Microsoft’un bu sertifika otoritesiyle ilgili sorun geçmişini iyi bildiği, 2021’de endişelerini ilettiği ve 2022’deki açık CCADB tartışması sırasında da ek sorunların gündeme getirildiği belirtiliyor. Bunun bir değişimi tetiklemesi umuluyor. Windows kullanıcıları daha iyi hizmeti hak ediyor.
  • Andrew Ayeragwa12h
    • Sertifika otoritesinin yetersizliğine bir örnek olarak, bir sertifika konusu içinde Google’ın yan kuruluş seri numarasının yer alması bunun Google tarafından onaylandığı anlamına gelmez. Sertifika otoriteleri o alana istedikleri içeriği koyabilir ve bu sertifika otoritesi de sertifikaya ne koyduğunu açık biçimde doğrulamıyor.
  • Andrew Ayeragwa10h
    • Kurumsal ortadaki adam saldırısı proxy’leri çok zararlıdır.

İlgili okumalar

1 yorum

 
GN⁺ 2024-12-01
Hacker News görüşleri

  • ICP-Brasil'in kamusal SSL/TLS sertifikası vermeyi durdurmasıyla ilgili endişeler var

    • Birinin kamusal sertifika verme yasağını aşıp Google'ın CAA kurallarını görmezden geldiği bir vaka var
    • Bu sertifika otoritesinin Microsoft OS'te yasaklanmasını isteyen bir görüş var

  • ICP-Brasil, dijital imza ile ilgili işlerden sorumlu bir devlet kurumu

    • Dijital sözleşmelerin imzalanması, vergi beyannamelerine erişim gibi alanlarda önemli rol oynuyor

  • Chrome ve Firefox zaten bu sertifika otoritesine güvenmiyor

    • Microsoft/Windows'un, diğer büyük tarayıcıların güvenmediği bir sertifika otoritesine güvenmesi daha da kötü bir durum gibi görünüyor

  • Sistemdeki kusurlara dikkat çeken görüşler var

    • 15 yıl önce online bankacılık kullanırken bile sistemin kusurlarını fark etmiş
    • Bankaya sertifika sağlayıcısının kim olduğunu sorduğunda banka yanıt verememiş
    • Bu, güvenlik konusundaki cehalet ve körü körüne güvene dayalı bir süreç

  • "Windows kullanıcıları daha iyisini hak ediyor" diyen bir görüş var

    • Microsoft'un kullanıcılarına karşı kayıtsızlığından ve dava ihtimalinden söz ediliyor

  • Microsoft'un sertifika otoritelerine güvenme konusunda şeffaflıktan yoksun olduğu yönünde görüşler var

    • Mantıklı web siteleri, Chrome gibi büyük tarayıcıların güvendiği sertifikaları kullanmalı

  • Windows/Edge'de Chrome'un güven deposunu kullanmanın bir yolu olup olmadığını merak eden bir görüş var

  • Ülkelere bağlı sertifika otoritelerinin listesini bilmek isteyen bir görüş var

  • Orijinal gönderide bu sorunun kasıtlı mı yoksa hata mı olduğunun net olmadığına dair bir görüş var

  • Sertifika otoritelerine güven konusunda bağımsız kurumların değerlendirme sunduğu ve kullanıcıların birden fazla kurumun görüşünü dikkate alabildiği bir sisteme ihtiyaç olduğu yönünde bir görüş var

  • Sorunun, şirketlerin fazla büyümesi olduğunu söyleyen bir görüş var