Let’s Encrypt, ABD yaptırım kapsamındaki bölgelerde sertifika kullanımını yasaklıyor [PDF]

 (letsencrypt.org)
1 puan yazan GN⁺ 4 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Let’s Encrypt sertifikaları, ISRG tarafından verilen SSL/TLS dijital sertifikalarıdır ve aboneler sertifika talep ederken, kabul ederken ve kullanırken bu sözleşmedeki hak ve yükümlülüklere tabi olur
  • Aboneler, sertifikadaki tanımlayıcılar üzerindeki yetkilerini, bilgilerin doğruluğunu ve özel anahtarın sahipliği ile korunmasını garanti etmeli; ayrıca ABD yaptırım ve ihracat kontrol düzenlemelerine uymalıdır
  • Kapsamlı ABD yaptırımlarına tabi ülke veya bölgelerde bulunan ya da bu yerlerin hukukuna göre kurulmuş veya mutat olarak ikamet eden kişi ve kuruluşlar, sertifikaları ve ISRG tarafından sunulan hizmetleri kullanamaz
  • Anahtar sızıntısı, sertifika bilgilerinde hata, kötüye kullanım, sona erme veya iptal, yasa dışı faaliyetlerde kullanım gibi belirli koşullarda abone veya ISRG sertifika iptali sürecini yürütmelidir
  • Sözleşme, ücretsiz kamu hizmeti olarak sunulan sertifikalar için ISRG’nin garantilerini sınırlar ve sorumluluk sınırlaması, uygulanacak hukuk, yargı yetkisi ve sözleşme değişikliği prosedürlerini belirler

Sözleşmenin niteliği ve temel tanımlar

  • Let’s Encrypt Subscriber Agreement, abone ile Internet Security Research Group (ISRG) arasında hukuken bağlayıcı bir sözleşmedir
  • Sözleşmenin konusu, ISRG tarafından verilen SSL/TLS dijital sertifikalarının edinimi ve kullanımına ilişkin tarafların hak ve yükümlülükleridir
  • Bir şirket, kuruluş veya başka bir tüzel kişi adına hareket ediliyorsa, o tüzel kişiyi bu sözleşmeyle bağlama yetkisine sahip olunduğu garanti edilmelidir
  • ACME Client Software, ACME protokolünü kullanarak Let’s Encrypt sertifikalarını talep eden, kabul eden, kullanan ve yöneten bir yazılım uygulamasıdır
  • Certificate, bir açık anahtarı bir veya daha fazla tanımlayıcıyla ilişkilendiren ve düzenleyici tarafından dijital olarak imzalanmış bilgisayar tabanlı bir kayıt veya elektronik mesajdır

Sözleşmenin yürürlüğü, süresi ve devam eden hükümler

  • Sözleşme, ISRG’den Let’s Encrypt sertifikası verilmesinin talep edildiği anda yürürlüğe girer
  • Her sertifika, üzerinde belirtilen geçerlilik süresi boyunca geçerlidir ve daha erken bir tarihte iptal edilebilir
  • Sözleşme, geçerli bir sertifikaya sahip olunan tüm süre boyunca uygulanmaya devam eder; otomatik yenileme dahil yenileme dönemleri de buna dahildir
  • Artık geçerli bir Let’s Encrypt sertifikası bulunmadığında sözleşme sona erer
  • Gizlilik, tazmin, garanti reddi, sorumluluk sınırlaması, uygulanacak hukuk, yargı yeri seçimi, ISRG’ye karşı talep sınırlamaları ve usulsüz alınmış sertifikalar ile süresi dolmuş sertifikaların kullanım yasağına ilişkin hükümler, sözleşmenin sona ermesi veya süresinin dolmasından sonra da yürürlükte kalır

Abonenin garantileri ve sorumlulukları

  • Abone, her sertifikanın kapsadığı tanımlayıcıların meşru kayıt sahibi, devralanı veya bunların yetkili temsilcisi olduğunu garanti etmelidir
  • Abone, tanımlayıcı üzerindeki hakimiyeti bir haciz sonucu elde etmediğini ya da haciz sırasında ilgili tanımlayıcı üzerinde devam eden meşru bir kullanım bulunmadığını garanti etmelidir
  • Abone, sertifikadaki abone ve tanımlayıcı bilgilerinin ve ISRG’ye sağlanan tüm bilgilerin doğru, güncel, güvenilir, eksiksiz ve yanıltıcı olmadığını garanti etmelidir
  • Abone, sertifikanın açık anahtarına karşılık gelen özel anahtara meşru şekilde sahip olmalı; ilgili etkinleştirme verileri veya cihazlarıyla birlikte bu özel anahtarı kontrol etmeli, güvence altına almalı, korumalı ve gizli tutmalıdır
  • Abone, kapsamlı ABD yaptırımlarına tabi bir ülke veya bölgede bulunan ya da bu yerlerin hukukuna göre kurulmuş veya mutat olarak ikamet eden bir kişi veya kuruluş olmamalıdır
  • Abone, ABD veya diğer uygulanabilir yaptırım ya da ihracat kontrol mevzuatına göre yasaklı veya kısıtlı bir kişi olmamalıdır
  • Abone, yaptırım kapsamındaki ya da yasaklı/kısıtlı bir kişi veya kuruluş tarafından sahip olunan, kontrol edilen veya onun adına hareket eden bir kişi ya da kuruluş olmamalıdır
  • Abone, Let’s Encrypt sertifikalarını ve ISRG’nin veya ISRG adına sunulan hizmetleri geçerli ABD ihracat kontrolü ve yaptırım mevzuatına uygun şekilde kullanmalıdır

Sertifikanın verilmesi, kullanımı ve iptal yükümlülükleri

  • Sertifika içeriği, abone veya ACME Client Software tarafından ISRG’ye gönderilen bilgilere dayanır
  • ISRG sertifika talebini kabul ederse sertifikayı oluşturur ve ACME protokolü üzerinden aboneye sunar
  • ISRG talebin geçerliliğini doğrulayamazsa talep reddedilebilir
  • ISRG, sözleşmede açıkça belirtilmiş veya belirtilmemiş meşru nedenler dahil olmak üzere, tamamen kendi takdirine bağlı olarak sertifika taleplerini reddedebilir
  • Anahtar çifti, abone veya ACME Client Software tarafından abonenin sisteminde oluşturulur; ISRG özel anahtara erişemez
  • ISRG, hedef tanımlayıcı üzerindeki kontrolü teknik yöntemler ve protokollerle doğrular; bu doğrulama, sertifika verilip verilmeyeceğine karar verilmesine yardımcı olan bir süreçtir
  • Abone sertifika içeriğini derhal incelemeli ve herhangi bir tutarsızlık, hata, kusur veya başka bir sorun fark ederse derhal iptal talebinde bulunmalıdır
  • Sertifikanın ilk kez kullanılması veya karşılık gelen özel anahtarın ilk kez kullanılması, sertifikanın kabul edildiği anlamına gelir
  • İlk incelemeden hemen sonra iptal talep edilmemesi de sertifikanın kabul edildiği anlamına gelir
  • ISRG, sertifikanın tamamını kopyalama ve dağıtma hakkını ve sözleşmeye uyulması şartıyla münhasır olmayan, ücretsiz bir lisans verir
  • Sertifikanın amacı, internet iletişimini doğrulamak ve şifrelemektir
  • Abone, sertifikayı yalnızca sertifikanın subjectAltName alanında belirtilen sunuculara kurmalı ve tüm geçerli yasa ve sözleşmelere uygun biçimde kullanmalıdır
  • Abone, sertifikayı şifreli iletişimi engelleme işlevi sunan yazılım veya donanım mimarilerinde kullanmamalıdır
    • Yasak örnekler arasında aktif dinleme, ortadaki adam saldırıları ve sahip olunmayan veya kontrol edilmeyen alan adları ya da IP adreslerinin trafiğinin yönetilmesi yer alır
  • Özel anahtarın kötüye kullanıldığı veya anahtar sızıntısının gerçekleştiği ya da bundan şüphelenildiği takdirde ilgili sertifikanın iptali derhal talep edilmelidir
  • Sertifika bilgileri yanıltıcı hale gelmişse, artık doğru değilse veya hatalıysa ilgili sertifikanın iptali derhal talep edilmelidir
  • İptal nedeni kodu verilmeden önce Let’s Encrypt belgelerindeki “Revoking Certificates” talimatları gözden geçirilmelidir
  • ISRG, başka bir iptal nedeni kodunun daha uygun olduğuna veya sektör standartları gereği gerekli olduğuna karar verirse, abonenin verdiği iptal nedeni kodunu değiştirebilir
  • Sertifika bilgileri yanıltıcı, yanlış veya hatalıysa ya da sertifika iptal edilmiş veya süresi dolmuşsa, bu sertifikanın kullanımı derhal durdurulmalıdır
  • Sertifika, anahtar sızıntısının bilindiği veya şüphelenildiği gerekçesiyle iptal edilmişse, ilgili açık anahtara karşılık gelen tüm özel anahtarların kullanımı derhal durdurulmalıdır

ISRG’nin hakları, sorumluluk sınırları ve ek koşullar

  • Abonenin ISRG’ye gönderdiği bilgiler ve sertifikalar kamu kaydı haline gelebilir
  • ISRG’nin bilgi toplaması, saklaması, kullanması ve açıklaması Let’s Encrypt Gizlilik Politikası kapsamındadır
  • ISRG, bir sertifikanın geçersiz veya tehlikeye girmiş olduğuna dair bildirim alırsa ilgili sertifikayı derhal iptal edebilir
  • ISRG, bir sertifikanın iptal edilip edilmeyeceğine tamamen kendi takdiriyle karar verir
  • Abone veya temsilcisi sertifikanın iptalini talep ederse, ISRG uygulanabilir olan en kısa sürede ilgili sertifikayı iptal eder
  • Özel anahtarla imzalanmış iptal talepleri otomatik olarak geçerli talep sayılır
  • ISRG, bir sertifikanın uygunsuz şekilde verildiğini veya yanlış beyan, bilgi gizleme ya da dolandırıcılıkla elde edildiğini tespit ederse önceden bildirim yapmadan derhal iptal edebilir
  • ISRG, bir sertifikanın güvenilmez hale geldiğini veya öyle göründüğünü değerlendirirse önceden bildirim yapmadan derhal iptal edebilir
  • ISRG, özel anahtar güvenliğinin çalınmış, kaybolmuş, zarar görmüş veya yetkisiz kullanıma maruz kalmış olabileceği durumlarda önceden bildirim yapmadan derhal iptal edebilir
  • ISRG, sertifikanın phishing, dolandırıcılık veya zararlı yazılım dağıtımı gibi suç faaliyetlerini mümkün kılmak için kullanıldığını veya kullanılmış olduğunu tespit ederse önceden bildirim yapmadan derhal iptal edebilir
  • ISRG, sertifikanın başkalarının trafiğini ele geçirmek için kullanıldığını veya kullanılmış olduğunu tespit ederse önceden bildirim yapmadan derhal iptal edebilir
  • Let’s Encrypt sertifikaları ve ISRG tarafından sağlanan hizmetler, açıkça belirtilen durumlar dışında “olduğu gibi” sunulur ve ISRG mülkiyet, ihlal etmeme, satılabilirlik ve belirli bir amaca uygunluk konularındaki zımni garantileri reddeder
  • Let’s Encrypt sertifikaları ücretsiz bir kamu hizmeti olarak verildiğinden, ISRG sertifikayla ilgili kayıp, zarar, talep veya avukatlık ücretlerinden sorumlu değildir
  • Sözleşmeye uygulanacak hukuk Kaliforniya eyaleti hukukudur ve sözleşmeyle ilgili talep, dava veya işlemler Kaliforniya, San Jose’deki eyalet veya federal mahkemelerde açılmalıdır
  • ISRG’ye karşı sözleşmeyle ilgili her türlü talep, dava veya işlem, iddia edilen zarar, kayıp veya hukuka aykırı fiilin meydana geldiği tarihten itibaren 1 yıl içinde başlatılmalıdır
  • ISRG sözleşmeyi zaman zaman değiştirebilir ve değiştirilmiş sözleşme, yürürlüğe girmesinden en az 14 gün önce letsencrypt.org üzerinde yayımlanır
  • Önemli değişiklikler, ACME protokolünde yeni bir Subscriber Agreement sürüm numarasıyla gösterilir ve ACME Client Software bu değişiklikleri bildirecek şekilde yapılandırılabilir
  • Sertifika talebi sırasında ISRG, sertifika talebi ve kullanımı, sertifika iptali ve hizmetin sona erdirilmesiyle ilgili e-postalar gönderebilir
  • ACME API üzerinden bir e-posta adresi sağlanırsa, ISRG ek iletişim abonelik seçeneklerini öneren bir adet e-posta gönderebilir

İlgili okumalar

1 yorum

 
GN⁺ 4 시간 전
Hacker News görüşleri

  • Let’s Encrypt’in misyonu daha güvenli ve gizliliğe saygı duyan bir web oluşturmak olduğunu söylüyor, ama görünüşe göre buna en çok ihtiyaç duyan ülkelerde yaşayan insanlar dışarıda kalıyor
    Yine de bu, düşman ülkelere SSL teknolojisinin ihraç edilmemesini isteyen ABD’nin saçma yasal taleplerinden kaynaklanıyor gibi görünüyor. Eskiden web tarayıcılarının yalnızca 40 bit şifrelemeyi destekleyen “uluslararası dostu” sürümleriyle 128 bit şifrelemeyi destekleyen “gelişmiş güvenlik” sürümleri olarak ayrıldığı dönemi hatırlayanlar olabilir

    • Bence Let’s Encrypt hâlâ dünya genelindeki neredeyse tüm savunmasız gruplara hizmet veriyor ve buna en çok ihtiyaç duyan insanlar da dahil. Yine de konu karmaşık olduğu için bunu mutlak biçimde söylemekte temkinli olmak gerekir
      Yaptırımla ilgili engellerin çoğu, belirli yaptırım uygulanan ülkelerin yalnızca hükümetlerine yöneliktir; sıradan vatandaşlara değil
      Bu abone sözleşmesi güncellemesi, yasal gereklilikleri daha iyi yansıtmayı amaçlıyordu ve sunduğumuz hizmette büyük bir değişiklik anlamına gelmiyor. Uyum programları zaman içinde değişir ve bunu şartlarda daha iyi anlatmak da bunun bir parçasıdır. Buradaki yorumlara bakınca, ifadeyi daha anlaşılır hâle getirmemiz gerektiği açıkça görülüyor ve bu kısmı iyileştireceğiz
      Ayrıca bu, “düşman ülkelere SSL teknolojisinin ihraç edilmesini yasaklayan ABD yasası” yüzünden olmuyor
    • PGP kodunun kitap olarak basılıp ihraç edildiği dönemi gerçekten hatırlıyorum. Güçlü anahtarlar kullanan şifreleme kaynak kodunu dijital biçimde ihraç etmek yasaktı, ama kitaplar ABD Anayasası’nın Birinci Değişikliği ile korunduğu için sorun olmuyordu
      Yurt dışında insanlar o basılı metni tarayıp kaynak kodunu yeniden oluşturuyor ve PGP’yi yasal olarak derliyordu
    • Bu büyük olasılıkla OFAC ile ilgilidir. Let’s Encrypt, yaptırım altındaki taraflarla işlem yapmak için lisans başvurusunda bulunabilir ve kullanım amacına bakılırsa onay alma ihtimali de yüksek görünüyor
      https://ofac.treasury.gov/ofac-license-application-page
    • Son zamanlarda genel olarak teknolojide ABD hukuk düzeni devasa bir bölünme ve dijital demir perdeyi hızla kuruyormuş gibi geliyor. Bu, yapay zeka modellerinden TLS sertifikaları gibi daha gündelik şeylere kadar uzanıyor
      ABD merkezli birçok Linux dağıtımı zaten bir süredir bu çizgiyi izliyordu ve RedHat de Let’s Encrypt’e oldukça benzer uyarılar yapıyordu
      Anlamlı bir açık proje sonunda ya RISC-V gibi taşınmayı ya da Let’s Encrypt ve diğer projelerde olduğu gibi ayrışmayı uygulamayı seçmek zorunda kalacak gibi görünüyor
    • Bunlardan birine gerçekten sahip olan insanlar da vardı
      http://www.cypherspace.org/adam/uk-shirt.html
      Üzerinde, ABD’den ihraç edildiğinde teknik olarak yasa dışı sayılacak kadar güçlü RSA şifrelemesini uygulayan bir Perl betiği bulunan bir tişörttü
      Ne yazık ki 90’ların sonunda o tişörtü giyip ABD’ye gidecek kadar umursamaz ya da cesur değildim

  • Let’s Encrypt, Avrupa’da ya da ABD ve onun alt düzey müttefik alanının dışında şubeler açamaz mıydı?
    About sayfasında açıkladığı hedeflerle çelişiyor. “Kamu yararı için yürütülen bir hizmet”, “alan adına sahip herkes ücretsiz olarak güvenilir bir sertifika alabilir”, “herhangi bir kuruluşun denetiminin ötesinde topluluğa fayda sağlamak için ortak bir çaba” dedikten sonra, şimdi siyasi bir organizasyonun denetimi altında olduğunu kabul etmiş oldu
    2026-06-04 tarihinde abone sözleşmesine eklenen ifade, kapsamlı ABD yaptırımlarına tabi ülke veya bölgelerde bulunan ya da o yasalar uyarınca kurulmuş veya mutat ikametgâhı orada olan kişi ve kuruluşların, ABD veya diğer uygulanabilir yaptırım/ihracat kontrol yasaları kapsamında yasaklı ya da kısıtlı olmaması, böyle bir tarafça sahip olunmaması, kontrol edilmemesi veya temsil edilmemesi ve Let’s Encrypt sertifikaları ile ISRG tarafından sağlanan hizmetleri ABD ihracat kontrolü ve yaptırım yasalarına uygun şekilde kullanması gerektiğini söylüyor

    • Mümkün, ama o şube ilgili yasalara uymazsa ABD’deki merkez yine de sorumlu tutulur
    • Avrupa’da olmamalı. Dediğin gibi, ABD’nin alt düzey müttefik alanı da ABD’nin kendisinden daha iyi değil
      Onun yerine Singapore veya Uruguay gibi tarafsız ülkelerden birine taşınmak daha iyi olur
    • Let’s Encrypt’e karşılık gelen ABD dışı hizmetler de var
    • Let’s Encrypt, şubelere bölünebilecek bir kod tabanı ya da şirket değil. Varoluşunun temeli, tarayıcılar ve işletim sistemleriyle olan güven ilişkisine dayanıyor
      Alternatif bir kök oluşturmanın teknolojisi, alan adı veya IP adresi sistemi kadar neredeyse önemsizdir; ama o alternatif kökün dünyanın geri kalan katılımcıları tarafından kabul görecek güveni kazanması çok daha zordur
      Örneğin biri Rusya sürümü bir Let’s Encrypt kurdu diyelim; ACME challenge ile sertifika isteme ve alma gibi teknik yönleri mevcut LE ile aynı olabilir. Ancak hiçbir tarayıcı bunu geçerli saymaz ve hiçbir işletim sistemi de geçerli kabul etmez. Rus hükümeti kendi devlet bilgisayarlarına bu yeni LE’yi güvenilen olarak ekleyebilir, ama asıl mesele dünyanın diğer katılımcılarını da aynı şeyi yapmaya ikna etmektir. Sorun teknoloji değil, güven üzerine kurulu toplumsal bir sorundur
      Rusya Ukrayna’yı işgal ettiğinde, IANA/ICANN’in Rusya’yı alan adları ve IP adreslerinden kesip kesmemesi gerektiği konusunda büyük bir tartışma olmuştu. Sonuçta bunu yapmamaya karar verildi; çünkü sembolik faydası küçüktü ve özellikle savaş sonrasına kadar tüm sisteme vereceği zarar çok büyüktü. İki kök olduğunda alan adları veya IP adresleri bir anda iki farklı konuma sahip olabilir ve bunu sonra düzeltmek isteseniz bile son derece acı verici olur. Sertifika otoriteleri bu özelliğe sahip değildir; bu yüzden neredeyse sonsuz sayıda kök birlikte var olabilir ve hash çakışmaları olmadığı sürece birbirleriyle çakışmazlar. Rusya yeni bir sertifika otoritesi kurarsa, isteyenler bugünden kullanmaya başlayabilir ve savaş bittikten sonra da kullanmaya devam edebilir
    • Tamamen bağımsız bir kuruluş çok daha iyi bir seçenek olurdu. Protokol zaten açık, dolayısıyla sadece başka bir sağlayıcıyı işaret etmek yeterli

  • İran aylardır interneti kesiyor, ama ABD güvenli bağlantı kurmayı yasaklıyor; gerçekten çok “etkili”
    Rusya’nın yarı-devlet yapıları, Rusya’daki insanları gözetlemek için sansür sistemi TSPU’ya astronomik miktarda ruble harcıyor; ABD ise erişilebilir şifrelemeyi yasaklayarak mevcut şifreli trafiğin de gözetlenebilmesini sağlayıp onlara yardım etmiş oluyor

    • Let’s Encrypt sertifikaları hem İran’da hem de Rusya’da kullanılmaya devam edebilir; sadece İran ve Rusya hükümetlerine sağlanmıyor
      Bu, ilgili yasalara uyulduğunu netleştirmeye yönelik bir kullanım koşulları güncellemesi; iki ülkenin durumunu değiştiren bir şey değil
    • [Ben İranlıyım] Kesinlikle katılıyorum. Bu bana, ABD’nin İran’daki vatandaşların ve şirketlerin AWS ya da DigitalOcean gibi bulut altyapılarını kullanmasını yasakladığı zamanı hatırlattı
      Sonuç olarak insanlar ve şirketler devlet destekli yerel bulut hizmetlerine geçti; böylece hükümet, bankacılık, e-ticaret, çevrimiçi taksi çağırma ve yemek teslimatı gibi temel hizmetleri durdurmadan internet erişimini istediği anda kesmeyi çok daha kolay hale getirdi
    • TSPU gözetim için değil, sansürü uygulamak ve burada internetsiz değil ama VPN’siz internet kullanımını berbat hale getiren çeşitli işlevler için var. Gözetim için olan SORM’dur
      Ayrıca Roskomnadzor açıkça hükümetin bir parçası

  • Bu olay, dijital sertifikaların sonuçta sertifika otoritesi sahipleri adına dışlamayı zorunlu kılan bir araç olduğu yönündeki sezgiyi güçlendiriyor
    Yazılım, firmware, donanım ya da bu örnekte olduğu gibi SSL/TLS fark etmeksizin, dijital sertifikalardan etkilenen şeyler üzerinde insanların tam sahiplik ve kontrol sahibi olmasını engelleyen bir araç. Kılık değiştirmiş dijital tiranlık

    • Burada asıl kontrol sertifika otoritesindeymiş gibi görünüyor, ama gerçek kontrol, sertifika otoritelerini güvenilir olarak dahil eden tarayıcılar ve işletim sistemlerinde
      Kullanıcılar da en azından şu an için sertifika otoritelerini ekleyip çıkarabiliyor. Akıllı telefon gibi cihazlarda bu kontrol biraz daha belirsiz
      Yazılım paketlerini imzalamak için kullanılan dijital sertifikalar, bazı üreticiler tarafından dışlamayı zorlamak için kullanılıyor. Let’s Encrypt bildiğim kadarıyla o alanda değil; ama o durumda cihaz sahibi hangi sertifika otoritesine güveneceğine karar verme hakkına sahip olmuyor ve genelde yalnızca üretici güvenilir olarak yer alıyor. Teknik olarak paketleri imzalayan kök sertifikanın sahibi olsalar bile, böyle aktörlere sertifika otoritesi denmesi gerekip gerekmediği bile tartışmalı
    • Ben bunu hep bir güven zinciri olarak gördüm ve herkesin kök sertifika oluşturup bunu kendisine güvenen insanlara dağıtabileceğini düşündüm
      Çoğu basit hizmet için TLS gerekmeyebilir; ama ISS’lerin trafiği gözetlediği bir ortamda güvenli bir iletişim yöntemi gerekir ve şu anda en iyi çözüm güven zinciri kurma yaklaşımıdır
    • Güven modelinin özü zaten insanları dışlamaktır. Bu, açıkça belirtilmiş hedeftir
      Güven olmadan sadece şifreleme istiyorsanız, kendinden imzalı sertifika kullanabilirsiniz
    • “Dijital tiranlık”ın ana amaç değil, yan etki olduğunu düşünüyorum. Dijital sertifikalar öncelikle belirli türde ortadaki adam saldırılarını engelleme aracıdır

  • Yaptırım altındaki biriyle işlem yaptığınız anda tüm sözleşmeyi ihlal etmiş oluyorsunuz gibi görünüyor; bu da yaptırım altında olmayan ülkelerdeki sertifikalar da dahil tüm sertifikaların iptal edilmesi riskini doğurabilir
    Metnin başından itibaren buna “Subscriber Agreement” deniyor ve tek bir sertifikayla sınırlı olduğunu ima eden bir ad değil. Ayrıca hak ve yükümlülükleri “Certificates” diye çoğul olarak ele alan bir sözleşme olduğu da yazıyor
    2.1 “Term” bölümünde sözleşmenin “sertifikalarınızdan herhangi birinin geçerli olduğu tüm süre boyunca” devam ettiği yazıyor; 3.1 “Warranties” bölümünde ise “bir Let’s Encrypt sertifikasını talep ederek, kabul ederek veya kullanarak” deniyor; yani kapsam geniş görünüyor

    • Bugün bir İranlıya selam verdim; bakalım Let’s Encrypt web sitemi iptal edecek mi

  • Bu gerçekten kötü. Neredeyse olabilecek en kötü şey. Yaptırım altındaki ülkelerde tüm yerel hizmetler durmaya başlarsa, o ülkenin hükümeti tüm kullanıcılara kök sertifika yüklemeyi zorunlu kılacak ya da yerel hizmetlere ve web sitelerine erişimi kesecek
    Böylece o kök sertifika ortadaki adam saldırılarında kullanılabilir. En kötü senaryoda kullanıcıların büyük çoğunluğu kök sertifikayı yükler; ardından ülkenin derin paket inceleme ekipmanı tüm trafiğe ortadaki adam saldırısı uygulayabilir ve bunun mümkün olmadığı tüm trafiği engelleyebilir

    • Demek yaptırımlar işe yaradı
    • Neden eksilendiğimi bilmiyorum. Rus hükümeti zaten Yandex Browser üzerinden bankacılık için devlet kök sertifikasını dayatmaya çalışmıştı, şimdi de bu oluyor

  • Bu bir kanarya mı?
    Greenland, Cuba ya da AB gibi yerlerde yeni bir Let’s Encrypt sertifikası kullanmaya başlarsanız ya da kullanmayı sürdürürseniz ne olur?
    Let’s Encrypt’e mahkeme celbi mi geldi?

    • ISRG’ye mahkeme celbi gelmiş olması mümkün. Şu anda ABD DOJ, siyasetçilerle beceriksiz palyaçoların karışımı gibi görünüyor. Ama bunun pek bir anlamı yok. Esas nokta, onların hiçbir şey bilmemesi
      Kendilerine bildirilen şey, “subpoena” kelimesinin nasıl yazıldığını ya da nasıl çıkarıldığını bilmeseler bile herkesin görebildiği açık kayıtlara yazılan bilgiler
      Bazıları, sertifika otoritelerinin bir sır tuttuğunu ve kullanıcıların o sırrı üretip sertifika otoritesine gönderdiğini ya da sertifika otoritesinin bunu üretip bir kopyasını verdiğini; dolayısıyla ABD hükümetinin mahkeme celbiyle bu sırrı alabileceğini hayal ediyor. Oysa açık anahtar altyapısının özü, açık anahtarlı şifreleme kullanmasıdır. Herkesin her yerde sır taşımasının sorun olmadığı bir durumda olsaydık, bu yapının tamamına zaten ihtiyaç olmazdı
    • Greenland da AB de ABD yaptırımlarına tabi değil

  • Bu gerçekten yeni bir şey mi? Bana göre bu, şifreleme teknolojisine yönelik standart ABD ihracat kısıtlamaları gibi görünüyor. Bu tür kısıtlamalar 90’lardan beri var
    Let’s Encrypt bir ABD şirketiyse ya da GitHub’a bir şey yüklüyorsanız veya büyük uygulama mağazalarında bir şey yayımlıyorsanız, ABD’nin şifrelemeyle ilgili ihracat kısıtlamalarına tabi olursunuz. Google Play’e her uygulama yüklediğimde, o uygulamanın şifrelemeyi nasıl kullandığını ABD hükümetine bildiren bir form göndermem gerekiyordu
    Bu tür kısıtlamalar 1950’lerin sonlarından beri yürürlükte ve bilgisayar şifrelemesi konusunda uzun ve karmaşık bir geçmişi var. Bu ifade, ABD EAR ihracat gerekliliklerine uymak için gereken standart ticari dil gibi görünüyor

    • Sertifikalar bir şifreleme teknolojisi değil, sadece sayılar. Sertifika isteyen taraf zaten sunucusuna şifreleme yazılımını kurmuş durumda; bağlanmak isteyen istemci de öyle
      Bu sayılarda teknik olarak özel bir şey yok; mesele, güven zincirinin bunları onayladığına dair toplumsal sözleşme alanında
    • Mahremiyeti ciddi biçimde ilerletmek isteyen bir kuruluş, 90’larda ya da hatta 50’lerde ABD’den kaçınmalıydı. Yine de güvenli bir yargı alanında yeniden kurulmak için en iyi ikinci zaman bugün

  • “sanction” kelimesini gerçekten seviyorum. Kendi kendisinin zıt anlamlısı.
    “The committee sanctioned the new policy.” cümlesinde onayladı anlamına geliyor, “The committee sanctioned the rogue nation.” cümlesinde ise yaptırım uyguladı anlamına geliyor

    • Geleneksel İngilizcede cleave gibi oto-zıt anlamlı birçok kelime var

  • Web sertifikalarının yaklaşık %60’ını tek bir sağlayıcıda toplamak belki de bir hataydı

    • Neyse ki o sağlayıcıyı kullanan herkes açık protokoller kullanıyor ve geçiş yapmak da oldukça kolay
    • Ondan önce her şey şifrelenmemişti ve sertifika almak için para ödemek gerekiyordu. Yine o günlere dönebiliriz ama artık şifrelenmemiş her bağlantının ortadaki adam saldırılarına açık olduğunu bildiğimiz bir dünyada yaşıyoruz. Bugünün dünyası çok daha düşmanca