TurkTrust’un Sahte Sertifika Olayı

3 Ocak tarihli Google Online Güvenlik bloğundan yapılan açıklamada 24 Aralık tarihinde Google Chrome’un sahte bir google.com sertifikası yakaladığı ve yasakladığını bildirdi.

Sertifika üzerinde yapılan araştırmalar TurkTrust tarafından imzalandığı tespit edildi. Sertifka detaylarına bakıldığında aşağıdaki alan adlarının tümünün imzalandığı gözükmekteydi:

*.google.com
 *.android.com
 *.appengine.google.com
 *.cloud.google.com
 *.google-analytics.com
 *.google.ca
 *.google.cl
 *.google.co.in
 *.google.co.jp
 *.google.co.uk
 *.google.com.ar
 *.google.com.au
 *.google.com.br
 *.google.com.co
 *.google.com.mx
 *.google.com.tr
 *.google.com.vn
 *.google.de
 *.google.es
 *.google.fr
 *.google.hu
 *.google.it
 *.google.nl
 *.google.pl
 *.google.pt
 *.googleapis.cn
 *.googlecommerce.com
 *.gstatic.com
 *.urchin.com
 *.url.google.com
 *.yo
 utube-nocookie.com
 *.youtube.com
 *.ytimg.com
 android.com
 g.co
 goo.gl
 google-analytics.com
 google.com
 googlecommerce.com
 urchin.com
 youtu.be
 youtube.com

Sözkonusu sertifika da sosyal medyada yayımlandı:

http://pastebin.com/0kchRaYp

Google hemen tüm browser üreticileri uyardı. İlk Chrome güncellemesinde TurkTrust’ın güvenlik sevisyesini düşüreceğini açıkladı. Artık TurkTrust sertifikaları eV (extended validation) olarak gözükmeyecekler.

TurkTrust’ın Cevabı

Olayın ortaya çıkması ile TurkTrust tarafından da bir açıklama yapıldı.

Sertifikalardan birinin 2011'de test amaçlı olarak oluşturulduğu da tespit edilmiş.

6 Aralık’ta bir başka sertifikanın (muhtemelen Google’ın yakaladığı sertifika) bir web mail arayüzüne tanımlandığının tespit edildiği de açıklamalar arasında.

Turkturst herhangi bir güvenlik sorunu olmadığını ve bahsi geçen sertifikaların iptal edildiği de açıkladı.

Diğer Reaksiyonlar

Google’ın diğer tarayıcı üreticilerine haber vermesiyle reaksiyonlar peşi sıra gelmeye başladı.

SSL'de eV (extended Validation) ve standart validation farkı

SSL’de eV (extended Validation) ve standart validation farkı

Opera’nın açıklamasında da TurkTrust’ın güvenlik seviyesinin düşürülmesine karar verildiği ve Google gibi eV onayının kaldırıldığı duyuruldu.

Microsoft da konuyla ilgili açıklama yaparak yama yayınladı.

Mozilla daha sert bir tedbir alarak 8 Ocak’taki güncellemesinde TurkTrust sertifikalarını tamamen yayından kaldıracak:

Mozilla'nın Açıklaması

Mozilla’nın Açıklaması

TurkTrust Kimdir?

TurkTrust Kök Sertifikası

TurkTrust Kök Sertifikası

TSK Elele Vakfı’nın bir kuruluşu olarak, 14 Temmuz 2004 tarihinde kurulmuş bir şirket. 5070 sayılı Elektronik imza kanunu kapsamında hizmet verecek ESHS (Sertifika Otoritesi)nin olarak hizmet vermektedir.

Bu hizmetlerin bir ayağı olan SSL sertifikası da kurumun hizmetlerinden biri olup, güncel sistemlerde de sağda görebileceğiniz gibi tanımlıdır.

Bu Olay Ne Anlama Geliyor?

Olayın ne anlama geldiğini açıklamak için öncelikle SSL’in nasıl çalıştığı hakkında bilgi vermemiz gerekiyor.

Standart Bir Bağlantı Nasıl Yapılıyor?

Standart bir bağlantıda veriler gönderen ve alıcı arasındaki bilgiler şifresiz şekilde iletilirler. Bu yöntemde veriler iki nokta arasında üçüncü şahıslar tarafından okunabilir hatta değiştirilebilir.

SSL’li Güvenleştirilmiş Bağlantı

SSL ile güvenleştirilmiş bir bağlantıda ise taraflar veri alışverişi öncesi sertifika belirterek bu sertifikaya göre şifreleme yaparak bilgi alışverişi yaparlar. Böylece sertifikayı elinde bulundurmayanlar verileri ele geçirse bile çözemezler. (En azından makul bir süre içinde çözemezler)

Genele açık olmayan sistemlerde sistem kendi içinde sertifika oluşturabilir. Ancak genel kabul gören sertifikalar için dünya üzerinde sayılı sayıda sertifika sağlayıcı firma bulunmaktadır.

Gelişmiş güvenlik önemlerine sahip sistemlerde, gelen sertifikaların geçerli olup olmadığı da bilgisayarlara ön tanımlı olarak gelen kök sertifika otoritelerinden kontrol edilir. TurkTrust da bu otoritelerden biridir.

TurkTrust Olayı

Kısaca üzerinden geçersek, Türktrust’daki sahte google.com sertifikası kullanılarak yukarıda belirttiğimiz Google servisleri veriliyormuş gibi sayfalar yayınlanabilir.

İşin daha vahim tarafı da bu sertifikalar gelişmiş güvenliğe sahip sistemlerde TurkTrust kök sertifikasının onayından geçerek geçerli bir sertifika gibi gösterilmiş olabilir.

TurkTurst’ın da arkasında TSK Elele Vakfı olduğu için sosyal medyada bu işin artniyetli olarak dinleme ve teknik takip amaçlı yapıldığı konusunda bazı düşünceler dile getirilmeye de başlandı.

Sertifikaların Ankara Büyükşehir Belediyesi’nin Otobüs İşletmesi olan EGO’nun üzerine yani *.EGO.GOV.TR üzerine kaydedilmiş olmaları da dikkate değer önemli bir ayrıntı.

Ne Yapmak Gerekiyor?

Öncelikle kullandığınız tarayıcıların gelecek güncellemelerini almanız gerekiyor. Ancak o zamana kadar sisteminizde TurkTrust sertifikalarını silmek maalesef en güvenli yol gibi gözükmekte.

Sonuç olarak TurkTrust ülkemiz adına önemli bir kazanım elde etmişti.

Yaşanan reaksiyonlardan da anlaşılabileceği üzere TurkTrust bu olayla birlikte kendi açıkladığı güven ve güvenirlilik yeteneğini kaybetmiş oldu.

Son yaşanan olayla birlikte SPAM, botnet gibi konularda kabarık olan ülke sabıkamıza bir de SSL sabıkasının eklenmesi hiç iyi olmadı.

Olayın bu noktada kalacağını sanmamakla birlikte önümüzdeki dönemde neler yaşanacağını hep beraber göreceğiz.


Originally published at Tolga Kaprol.