Venezuelalı Sertifika Otoritesi Sayısız Sorunla Yüzleşiyor ve Yaptıkları da Umut Verici Değil
Daha önce hiç PROCERT’i duydunuz mu? Açıkçası, cevabınız hayırsa sizi suçlayamayız çünkü kısa süre önceye kadar çoğu kişi zaten bilmiyordu.
PROCERT, Venezuela’da bulunan, ufak ve hükümete bağlı bir Sertifika Otoritesi. Sadece birkaç yüz sertifikası var ve bunların büyük çoğunluğu .ve uzantılı alan adları (Venezuela domain uzantıları) için. Diğerleri ise yine çeşitli Venezuela web siteleri ve kurumlarına verilmiş.
PROCERT, kendi yerel pazarı dışında neredeyse hiç tanınmayan, bölgesel ve hükümete bağlı onlarca sertifika otoritesinden sadece birisi. Bu CA’ların (Sertifika Otoriteleri) birçoğu sertifikaları ülkelerinin hükümetleri ve bölgesel hukukçular için hazırlıyor.
Bahsettiğimiz sertifika otoriteleri, işler ters gidene kadar da genellikle gözlerden uzak kalıyorlar. Fransız hükümet sertifika otoritesi ANSSI, 2013’te sertifikalarının ağları engellediği bulunana kadar ülkede kullanılmıştı. 2015’te ise Çin’deki CNNIC adlı sertifika otoritesi, Google ile Mozilla tarafından güvenilmeyen sertifikalar listesine alınmıştı.
Şimdi ise sırada PROCERT var.
PROCERT’in root sertifikası şu anda Mozilla, Microsoft ve Apple tarafından güvenilir gözüküyor fakat üç bağımsız araştırmacının ortaya çıkardığı sonuçlara göre, bu sertifika otoritesi bu güveni hak etmiyor.
İlk problem 6 Ağustos tarihinde ortaya çıkarılmıştı. Alex Gaynor ve Jonathan Rudenberg ilk sorunları açıklarken, ayın sonlarına doğru Andrew Ayer da ek problemler keşfetmişti. Kendilerine ise 2016’daki 1024-bitlik bir sertifikayı paylaşarak PROCERT yardım etmiş oldu.
Aslında toplamda 7 farklı ihlal bulundu. Bunlar resmi olarak 16 Ağustos’ta Mozilla tarafından dile getirilirken, PROCERT tek bir tanesine bile çözüm getirmedi. Yapılan ihlaller şu şekilde;
1. PROCERT, .local uzantılı bir alan adı için sertifika çıkardı. IP adresleri ve .local ya da localhost gibi kaydedilemeyen alan adları için sertifika çıkarmak, 2016 yılındaki CA/B Forum’undan bu yana yasaklı. Bunun sebebi de, bahsedilen dahili adların standart bir sahibi olamıyor, herkes tarafından sahip olunabiliyorlar ve bunlar da güvenlik riski oluşturuyor. PROCERT ise bu yıl pek çok iç alan adına sertifika çıkararak büyük bir ihlal gerçekleştirdi.
2. Domain yerine, bir URL için sertifika çıkardılar. PROCERT, http://ripac.insopesca.gob.ve/ adresi için bir sertifika çıkardı ve buradaki sorun ‘http://’ şeması oldu. Bu formata da sertifika çıkarmak RFC 5280 ve CA/B Forum Temel Gereksinimleri ile yasaklı durumda.
3. Ayrılmış IP adresleri için sertifika çıkardılar. Firma bu yılın başında 192.168.244.100 ıp adresi için bir sertifika çıkardı fakat aslında bütün 192.168.x.x IP adresleri IANA tarafından özel ağ kullanımı amacıyla ayrılmış durumda.
4. Sertifikalarda alan adlarının kodlanabileceği iki alan bulunuyor: Common Name (CN) ve Subject Alternate Name (SAN) alanları. PROCERT, bunu da eklemeyerek yine başka bir ihlale adım attı.
5. Rastgele olmayan seri numaraları diğer ihlal oldu. SSL sertifikaları özel ve her CA için rastgele olan seri numaraları içerir. Bunlar sertifikaya özel bir kimlik katarken, aynı zamanda saldırılara karşı da koruma sağlar. Araştırmacı Andrew Ayer, bu sorunu 30 Eylül 2016’da rapor ederken, hâlâ düzeltilmiş değil.
6. OSCP (Online Sertifika Durum Protokolü) bir iptal mekanizması ve PROCERT’in OCSP yanıtları yanlış şekilde veriyor. Var olmayan bir seri numarası atandığında dahi sertifika meşru gibi ‘Good’ yanıtı geliyor.
7. 1024-bit anahtarlı sertifika veriyorlar. Bir süredir 1024-bit anahtarlar zayıf kabul edilirken, CA/B Forum Temel Gereksinimleri de 1024-bit anahtarları 2010 yılından beri yeni sertifikaların kullanımında yasakladı. OCSP yanıtlayıcısının düzgün çalıştığını göstermek isteyen PROCERT ise 2016 yılında verilmiş sertifikalar gösterdi fakat bunlarda 1024-bit key kullanılıyordu.
Toplamda, PROCERT en az 2 9 sertifikayı yanlış yayınladı. Her ne kadar bu numaralar bazı diğer sertifika otoriteleri yanında sönük kalsa da, olayın arkasında root problemleri ciddi endişe yaratıyor.
Sertifika profilleri, bir şablon görevi görür ve sertifika otoriteleri de, sağladıkları tüm sertifikaların sektörün gereksinimleri ve standartlarıyla uyuştuğuna emin olmalıdır.
.local uzantılı bir alan adına sertifika sağlamak büyük bir sorun gibi gözükmeyebilir fakat bu aslında bütün internet için ciddi bir güvenlik riski oluşturuyor. Bu tip riskler bütün Web PKI platformunu etkilerken, PROCERT belki işlerini sadece yerel sektörde yapıyordu fakat aslında bütün internete karşı sorumlu olmaları gerekiyor.
Bunun da ötesinde, PROCERT’in yanıtları endüstri standartlarını pek yansıtmıyordu. İlk yanıtlarında hatalı bir şekilde ‘http://’ye izin verildiğini söylediler. Ardından OCSP yanıtlayıcısı sorununu düzeltmediler. Mozilla, PROCERT’ten olayla ilgili üç hafta önce yanıt istedi fakat firma hâlâ bu yedi ihlal için bir rapor sunamadı.
Görünüşe göre PROCERT ya bir şeyler yapamıyor, ya da yapmakla ilgilenmiyor. Sonuçta artık bu sertifika otoritesine de elveda demenin vakti geldi.
Kaynak: https://www.cheapssl.com.tr/blog/tarayici-toplulugu--procert-e-guvenmeli-mi.html