Güney Kore hükümeti (GPKI), Firefox kök sertifika deposuna bir kez daha kaydolmaya çalışıyor

GPKI kök sertifikası, başta .go.kr TLD’si olmak üzere çeşitli devlet ve kamuya ait web sitelerinin alan adlarına sertifika vermek için ağırlıklı olarak kullanılıyordu. (geçmiş zaman olduğuna dikkat edin; şu anda devlet siteleri HTTPS hizmetini sunmak için sertifikalarını ayrı ayrı farklı sağlayıcılardan alıyor)

Diğer tarayıcıların aksine Firefox kendi kök sertifika listesine sahiptir ve TLS bağlantılarında işletim sisteminin sertifika listesini izlemez. Örneğin Windows’ta GPKI sertifikası önceden yüklü gelir, ancak Firefox bunu okumaz. (Yine de bugünlerde about:config ayar sayfasının güvenlik sekmesindeki tek bir onay kutusuyla bunu kolayca değiştirip sistem listesini izlemesi sağlanabiliyor)

GPKI kök sertifikasının kaydının reddedilmesinin en bilinen nedenlerinden biri, geçmişte hükümetin *.or.kr, *.ac.kr gibi aşırı geniş kapsamlı sertifikalar verdiğinin ortaya çıkmış olmasıdır.

Ancak kayıt girişiminin engellenmesinin nedeni yalnızca bu sınırsız denebilecek verme vakası değil; Mozilla’nın talep ettiği dış denetim sonuçları, sertifika iptal listesi doğrulama yöntemi (CRL), sertifika geçerlilik doğrulama yöntemi (OCSP) gibi sıkı güven süreci gerekliliklerinin hükümet tarafından zamanında ve eksiksiz karşılanamaması da kayıtların gecikmesine veya reddedilmesine yol açıyor.

Hatta bunlar zamanında yapılmış olsa bile, İçişleri ve Güvenlik Bakanlığı sertifikası ile Eğitim Bakanlığı sertifikasının aynı şirket tarafından denetlenmesi gibi, sonucun kendisinde sorun bulunan durumlar da var.

Bugzilla içindeki konuları inceleyince, kayıt girişiminin yılları aşan uzun bir dönem boyunca sürdüğü görülüyor; bu yüzden sorumlu memurların rotasyonlu görev değişimleri ve yönetim değişikliklerine bağlı hükümet teşkilatı yeniden yapılanmaları nedeniyle, fiili işi yürüten görevlinin adı ile bağlı kurumun adı yıllara göre sürekli değişiyor; izlenmesi ilginç noktalardan biri de bu.