Yanlış sertifika Google'dan döndü

Türk güvenli web sitesi sertifikalandırma yetkilisi TurkTrust'ın yanlışlıkla yayınladığı sertifika, Google tarafından geçtiğimiz hafta fark edildi. Bunun üzerine Google, Chrome web tarayıcısını güncelleyerek diğer web tarayıcısı geliştiricilerini yazılımlarını güncellemeleri konusunda uyardı.

Peki gerçek olmayan bir sertifika, ne gibi bir risk taşıyor? Google'dan yazılım mühendisi Adam Langley, bu durumu blog'unda şöyle açıklıyor: "Sertifika yetkililerinin yayınladığı bu sertifikalar, sertifika yetkilisinin tüm yetkilerine sahiptirler. Dolayısıyla bu sertifikaya sahip olanlar, onu herhangi bir web sitesini taklit etmek üzere yeni sertifikalar oluşturmak için kullanabilirler."

Google'dan bir yetkili, TurkTrust'un yanlışlıkla yayınladığı sertifikaların sayısının iki olduğunu, ancak sadece bir tanesinin izinsiz sertifikalar oluşturmakta kullanıldığını söyledi.

Microsoft'tan yapılan açıklamada da TurkTrust'ın ürettiği sertifikaların bloke edildiği belirtilirken Windows Vista veya üst sürüm bir işletim sistemi kullananların herhangi bir önlem almasının gerekmediği kaydedildi.

TURKTRUST'TAN AÇIKLAMA

Olay sonrası Turktrust'tan yapılan açıklamada 2011 yılının Ağustos ayında iki sertifikanın yanlışlıkla yayınlandığını doğrulandı. İşte o açıklama:

"TÜRKTRUST, 2005 yılından beri vermekte olduğu SSL sertifikası hizmetlerini, 20 Aralık 2011 tarihinde “ETSI TS 102 042 ESHS Yönetim Sistemi Standardı” uyarınca belgelendirmiş ilk ve tek yerli kuruluştur. TÜRKTRUST aynı zamanda, Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera, Apple Safari, Blackberry gibi pek çok internet tarayıcısı ve mobil cihaz üreticisinin güvenilir kök sertifika listelerine girmeyi başarmış tek Türk kuruluşudur.

“ETSI TS 102 042 ESHS Yönetim Sistemi Standardı” belgelendirme süreci içinde, Mayıs-Kasım 2011 tarihleri arasında sistemlerimizde iyileştirme ve geliştirme çalışmaları yürütülmüştür. Bu çalışmalar sırasında, yazılım güncelleme ve veri taşıma kusuruna bağlı olarak aynı üretim paketinde yer alan iki adet SSL sertifikasının Ağustos 2011’de hatalı olarak üretildiği Aralık 2012 tarihinde tarafımıza İnternet tarayıcıları tarafından yapılan bildirimle anlaşılmıştır. Bildirimin ardından geçerli olan sertifika derhal iptal edilmiş, tüm sistemlerimiz ayrıntılı biçimde incelenerek sorunun kaynağı kesin olarak saptanmıştır.

Yapılan incelemeler sonucunda, söz konusu hatalı üretimin sadece bir kez gerçekleştiği, sistemlerimize herhangi bir müdahalenin söz konusu olmadığı, hatalı üretim sonucu ortaya çıkan bir zarar bulunmadığı tespit edilmiştir.
TÜRKTRUST’ın sahip olduğu ve 2011 Aralık ayından bu yana uluslararası standartlara uygunluğu belgelendirilmiş güçlü ve güvenilir teknik altyapısı, bu ve benzeri sorunların yeniden yaşanmasını kesin olarak engellemektedir. TÜRKTRUST, sadece ülkemizde değil dünyada da söz sahibi bir ESHS olma amacından en ufak bir sapma göstermeksizin çalışmalarına kesin bir kararlılıkla devam etmektedir.

Bugüne kadar olduğu gibi bundan sonra da, müşterilerimizin ve değerli Türk Kamuoyunun paha biçilmez desteği ve gösterdiği teveccüh en değerli varlığımızdır."