Yalnızca Microsoft’un güvendiği Brezilyalı sertifika otoritesi, `google.com` için sertifika verdi
(follow.agwa.name)-
Andrew Ayeragwa14h
- Brezilya’daki bir sertifika otoritesi Microsoft tarafından güvenilir kabul ediliyor ve
google.comiçin muhtemelen yetkisiz bir sertifika düzenledi. Bu, Edge ve diğer Windows uygulamalarında (Chrome ve Firefox hariç) Google’a giden trafiğin ele geçirilebilmesine yol açabilir. Microsoft’un bu sertifika otoritesiyle ilgili sorun geçmişini iyi bildiği, 2021’de endişelerini ilettiği ve 2022’deki açık CCADB tartışması sırasında da ek sorunların gündeme getirildiği belirtiliyor. Bunun bir değişimi tetiklemesi umuluyor. Windows kullanıcıları daha iyi hizmeti hak ediyor.
- Brezilya’daki bir sertifika otoritesi Microsoft tarafından güvenilir kabul ediliyor ve
-
Andrew Ayeragwa12h
- Sertifika otoritesinin yetersizliğine bir örnek olarak, bir sertifika konusu içinde Google’ın yan kuruluş seri numarasının yer alması bunun Google tarafından onaylandığı anlamına gelmez. Sertifika otoriteleri o alana istedikleri içeriği koyabilir ve bu sertifika otoritesi de sertifikaya ne koyduğunu açık biçimde doğrulamıyor.
-
Andrew Ayeragwa10h
- Kurumsal ortadaki adam saldırısı proxy’leri çok zararlıdır.
1 yorum
Hacker News yorumları
ICP-Brasil, ekim ayında herkese açık SSL/TLS sertifikası düzenlemeyi resmen durdurdu: https://www.gov.br/iti/pt-br/assuntos/noticias/indice-de-not...
Herkese açık sertifika düzenleme yasağını baypas etmekle kalmamış, Google’ın CAA kurallarını da ihlal etmiş; bu oldukça ciddi. Umarım bu sertifika otoritesi Microsoft OS’ta kalıcı olarak engellenir
certlm.mscye baktım; görünüşe göre bir hotfix zaten dağıtılmış ve güvenilir kök sertifika otoriteleri arasında ICP Brasil görünmüyorDaha da kötüsü, hata raporunda geçen ICP-Brasilin dijital imzayla ilgili genel alanlardan sorumlu, devlet tarafından işletilen bir kurum olması
Sözleşme veya senetleri dijital olarak imzalamaktan, vergi beyannamelerine erişime kadar işin içinde
google.comsertifikasını iptal etmek sorunu çözecek gibi görünüyorGörüntü gerçekten kötü. Chrome ve Firefox’un bu sertifika otoritesine güveni kaldıracağını sanmıştım, ama zaten güvenmiyorlarmış
Diğer büyük oyuncuların güvenmediği bir sertifika otoritesine Microsoft/Windows’un güveniyor olması Microsoft için daha da kötü bir tablo gibi görünüyor
Yakın zamanda düzelmesi de pek olası görünmüyor; yön hâlâ aşağı doğru
Eskiden varsayılan olarak güvenilmiyordu ve sertifika deposuna elle eklemek gerekiyordu; Brezilya hükümeti ise resmi web sitelerinde bu sertifika otoritesini kullanmakta ısrar ediyordu
Microsoft, sertifika otoritelerine güvenme konusunda epey gevşek görünüyor; dahil etme kararları da şeffaf değil ve güven deposu oldukça büyük
Makul bir web sitesi tarayıcıların, özellikle de Chrome’un güvendiği sertifikaları kullanacağından, bu ekstra sertifika otoritelerinin sağladığı fayda düşük görünüyor
Windows kullanıcısı değilim ama Windows/Edge’de Chrome güven deposunu kullanmanın bir yolu var mı merak ediyorum. Microsoft listesine güvenmek zor olur
MSFT’yi savunmaya çalışmıyorum ama devletlere OS satma deneyimi açısından kimse Microsoft’a yakın seviyede değil. MSFT’nin sertifika otoritesi eklemeyi dikkatle değerlendirdiğini düşünme eğilimindeyim
Hollanda hükümetinin onayladığı bir sertifika otoritesinin büyük çapta hacklendiği DigiNotar olayını biliyor musunuz merak ediyorum. O sertifika otoritesi, kök sertifikası çoğu tarayıcı ve OS güven deposuna eklendikten sonra hacklendi ve yaygın biçimde güveniliyordu. O hâlde MSFT’nin DigiNotar kök sertifika otoritesine “gevşekçe” güvendiği söylenebilir mi? Mozilla Firefox için de aynı şekilde bakmanın zor olduğunu düşünüyorum
Böyle şeyleri görünce sertifikaların neden sertifika sahibince de imzalanmadığını merak ediyorum
Şu anda bir sertifika otoritesi istediği açık anahtar ve alan adı için sertifika düzenleyebiliyor; kötü niyetli güvenilir bir sertifika otoritesi tüm trafiği araya girip yakalayabilir
Sertifikada sertifika otoritesinin imzasının yanı sıra o açık anahtarın sahibinin imzası da bulunsa, sertifika otoritesi bu yeteneğe sahip olamaz gibi geliyor; neyi kaçırıyorum?
Sertifika otoritesi ya da gerçek dünyadaki bir dolandırıcılıkla sertifika otoritesini kandıran saldırgan, ikinci imzada kullanılan anahtar çiftinin “sahibi” olabilir
Sertifika otoritesi güven kökü için kullanılan mevcut PKI altyapısını yeniden kullanmak tek başına bunu çözmez. Açık anahtarlar veya sertifikalar DANE gibi DNS üzerinden dağıtılabilir, ama bu basit bir iş değil ve ekosistemdeki mevcut aktörlerin genelinin buna razı olması gerekir
https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Na...
Mevcut merkezi PKI’nın üstüne ya da yanına merkeziyetsiz, kendi kendine yönetilen güven ekleyerek bugünkü durumu iyileştirme yönündeki büyük fikri seviyorum. Daha sistemli ve dayanıklı bir yapıya giden bir basamak olabilir
Sertifika sahibinin sertifikayı imzalayacak doğrulanmış bir açık anahtarı zaten varsa sertifika otoritesine gerek kalmaz
Brezilya’nın neden Microsoft’ta kendi sertifika otoritesine güvenilmesini sağladığını merak ediyorum. Örneğin Kazakistan[1] bunu başaramamıştı
Basit çözüm, bağımsız kuruluşların sertifika otoriteleri hakkında güven iddiaları sunması ve kullanıcının birden fazla kuruluşun değerlendirmesini birlikte dikkate alarak güvenip güvenmeyeceğine karar vermesini sağlamak olurdu
Saldırı yolu bu kadar açıkken hâlâ böyle bir yapının olmaması şaşırtıcı
Hangi alternatif PKI yöntemini kurarsanız kurun, Microsoft’un anlaşma yapması sorunundan bağımsız olmaz
Sorun klavye ile sandalye arasında. Kullanıcılar zaten SSL’i anlamakta zorlanıyor. Tarayıcılar EV, DV, OV farkının fazla karmaşık olduğunu düşünüp bunu gizledi
Büyükanneniz banka sitesini açtığında sertifika Google, Apple, Microsoft tarafından güvenilir, ama Mozilla tarafından güvenilir değilse ve tarayıcı eklentisi yeşile çalan sarı bir güven göstergesi gösterirse bunu nasıl yorumlar?
Ne yazık ki güven ikilidir. Büyükanneniz banka yer imine tıkladığında ya bankanın web sitesini görür ya da korkutucu bir uyarı görür
Sadece asıl metne bakınca bunun hata mı yoksa kasıtlı mı olduğu pek anlaşılmıyor
Çünkü yakalanması garanti olan ve ciddi maliyetle hazırlanmış işlevin kendisini tehlikeye atacak bir tartışma yaratacağı açıktı
google.comsertifikası verebildiğini anlamıyorumKötü niyet içermeyen bir senaryo var mı?
Tahmin ama hükümet ile büyük şirket arasında kasıtlı gizli anlaşma ya da zorlama gibi geliyor
Örneğin Brezilya hükümetinin, ülkede iş yapma hakkı karşılığında Microsoft’tan Windows cihazlarda ortadaki adam saldırısı erişimine izin vermesini istemesi gibi
Hükümetler kötü planları genelde gizlice yürütür. Böyle bir iş yakalanmadan geçiştirilemeyecek kadar zor olduğu için uygulanabilir bir yöntem değil. Bu yazıyı şu anda HN’de okuyor olmanız bunun tam bir örneği
Devletlere veya devlet bağlantılı sertifika otoriteleri listesine sahip biri olsa iyi olurdu. Hepsini silmek istiyorum
Hangi sertifika otoritesinin devlet tarafından işletildiğini veya devlet kontrolünde olduğunu belirlemek zor. Sadece adına bakarak her zaman net olmuyor; özel şirketler devlet talimatıyla çalışıyor olabilir, ayrıca yasal olarak sertifika otoriteleri devlet taleplerine uymak zorunda olabilir
Buradakilerin tamamı, sertifika otoritesi işleten devlet veya askeri kuruluşlar olduğu çok açık olan yerlerdi; bu kez adı geçen Brezilyalı sertifika otoritesi listedeki ikinci örnek
[1] https://alexsci.com/blog/ca-trust/#government-control-of-cas