Google Chrome Symantec SSL’lerine Güvenmeyecek
Google, geçtiğimiz birkaç yıl içinde 30.000 adet Extended Validation (EV) SSL sertifikasını yanlış bir şekilde veren Symantec’i kademeli olarak cezalandırma planlarını açıkladı.
Symantec’in sahip olduğu sertifika yetkilileri tarafından verilen tüm Genişletilmiş Doğrulama (EV) tipi SSL lisansları, Symantec tarafından verilen sertifikaların daha güvenilir şekilde düzeltene kadar en az bir yıl boyunca Chrome tarayıcısı tarafından artık tanınmayacak.
Extended Validation (EV) sertifikalarının, en yüksek düzeyde güven ve kimlik doğrulaması sağlamaları beklenir; Sertifika Otoritesi, talep eden kişinin yada kurumun yasal varlığını ve kimliğini doğrulamalıdır.
Google Chrome ekibindeki bir yazılım mühendisi olan Ryan Sleevi, Perşembe günü google groups üzerinden duyuruyu yaptıktan hemen sonra sertifika işlemleri başladı.
Ryan Sleevi açıklamasında “Bu aynı zamanda, Symantec’ten önceki hatalı sertifikalarının ardından bir dizi başarısızlıkla birleşmiş ve son birkaç yıldır Symantec’in sertifika verme politikalarına ve uygulamalarına artık güvenmemize neden oluyor.” şeklinde vurguda bulunmuştur.
SSL ekosisteminin önemli kısımlarından biri Güven’tir; ancak, CA’lar alanlar için EV sertifikaları vermeden önce yasal varlığı ve kimliği doğru bir şekilde doğrulamazlarsa, bu sertifikaların güvenilirliği tehlikeye atılır.
Google Chrome Ekibi 19 Ocak’ta soruşturma başlattı ve son birkaç yıldır Symantec’in sertifika yayınlama politikaları ve uygulamalarının sahtekar olduğunu ve İnternet üzerinden veri ve bağlantıların kimliğini doğrulamak ve güvenliğini sağlamak için kullanılan TLS sisteminin bütünlüğünü tehdit edebileceğini tespit etti.
Google Chrome ekibi adımlar haline uygulanacak yaptırımları şöyle listelemiş;
- Symantec tarafından günümüze kadar yayınlanan EV sertifikaları, daha az güvenli alan doğrulama sertifikalarına indirgenir; Chrome tarayıcısı doğrulanmış alan adı sahibinin adını, en az bir yıl süreyle adres çubuğunda görüntülemeyi durduracaktır.
- Daha fazla yayılma riskini sınırlamak için, yeni yayınlanan tüm sertifikaların, Google Chrome’da güvenilir olabilmesi için dokuz aydan daha uzun olmayan (Chrome 61 sürümünden itibaren geçerli) geçerlilik süreleri olmalıdır.
- Google çeşitli Chrome sürümleri boyunca Symantec sertifikalarının “maksimum yaşını” yavaş yavaş azaltarak yeniden doğrulanmasını isteyerek güvensizliği ortadan kalkmasını önermektedir.
Chrome 59 (Dev, Beta, Stable): 33 ay geçerlik (1023 gün)
Chrome 60 (Dev, Beta, Stable): 27 ay geçerlik (837 gün)
Chrome 61 (Dev, Beta, Stable): 21 ay geçerlilik (651 gün)
Chrome 62 (Dev, Beta, Stable): 15 ay geçerlilik (465 gün)
Chrome 63 (Dev, Beta): 9 ay geçerlilik (279 gün)
Chrome 63 (Stable): 15 ay geçerlilik (465 gün)
Chrome 64 (Dev, Beta, Stable): 9 ay geçerlilik (279 gün)
Demek oluyor ki, 2018’in başında yayınlanması beklenen Chrome 64’ten başlayarak, Chrome tarayıcısı yalnızca dokuz ay (279 gün) veya daha kısa süreli yayınlanan Symantec sertifikalarına güveneceğini gösteriyor.
Google, bu hareketin web geliştiricilerinin gelecekte yanlış bildirim olayları ortaya çıkması halinde Symantec tarafından verilen sertifikaların gelecekteki güvensizlik riskinin farkında olmasını ve aynı zamanda “gerekli olması halinde bu tür sertifikaları kullanmaya devam etme esnekliğini” sağlayacağına inanıyor.
Symantec’in Yanıtı
Symantec blog sayfasında Google cephesinden gelen iddiaları abartılı ve yanıltıcı olarak değerlendirdi. CA otoritesi olan diğer firmaların yapmış olduğu hataları görmezden gelerek hedef konumuna gelmekten rahatsız olduklarını blog sayfası üzerinden duyurdular.
Symantec blog yazısında müşterilerine “Müşterilerimize ve tüm tüketicilere, Symantec SSL / TLS sertifikalarına güvenmeye devam edebileceklerine dair güven vermek istiyoruz. Symantec, İnternet’in güvenli ve üretken kullanımını, Google’ın blog yayınındaki önerinin yol açacağı olası herhangi bir aksamayı en aza indirmeyi de dahil olmak üzere şiddetle savunacak.” şeklinde cevap verdi.