Siber Muhbir

Google'ın Chrome güvenlik ekibi, "Geçtiğimiz birkaç yıl boyunca, kamuya açıklanan olay raporları, Entrust'ın yukarıdaki beklentilerin gerisinde kalan ve kamuya açık bir [sertifika yetkilisi] sahibi olarak yetkinliklerine, güvenilirliklerine ve bütünlüklerine olan güveni aşındıran bir davranış modelini vurguladı" dedi.

Bu amaçla, teknoloji devi, varsayılan olarak Chrome tarayıcı 127 ve üzeri sürümlerden başlayarak Entrust'ın TLS sunucu kimlik doğrulama sertifikalarına artık güvenmemeyi planladığını söyledi. Ancak, bu ayarların Chrome kullanıcıları ve kurumsal müşteriler tarafından istenmeleri halinde geçersiz kılınabileceğini söyledi.

Google ayrıca, sertifika yetkililerinin tarayıcılar ve web siteleri arasında şifreli bağlantıların sağlanmasında ayrıcalıklı ve güvenilir bir rol oynadığını ve Entrust'ın kamuya açıklanan olay raporları ve gerçekleştirilmemiş iyileştirme taahhütleri söz konusu olduğunda ilerleme kaydetmemesinin internet ekosistemi için risk oluşturduğunu belirtti.

Engelleme eyleminin tarayıcının Windows, macOS, ChromeOS, Android ve Linux sürümlerini kapsaması bekleniyor. Dikkate değer istisna, Apple'ın Chrome Kök Mağazası'nın kullanılmasına izin vermeyen politikaları nedeniyle iOS ve iPadOS için Chrome'dur.

Sonuç olarak, Entrust veya AffirmTrust tarafından verilen bir sertifika sunan bir web sitesine giden kullanıcılar, bağlantılarının güvenli olmadığı ve gizli olmadığı konusunda onları uyaran bir geçiş mesajıyla karşılaşacaktır.

Etkilenen web sitesi operatörlerinin, 31 Ekim 2024'e kadar kesintiyi en aza indirmek için genel olarak güvenilen bir sertifika yetkilisi sahibine geçmeleri isteniyor. Entrust'ın web sitesine göre, çözümleri diğerlerinin yanı sıra Microsoft, Mastercard, VISA ve VMware tarafından kullanılıyor.

"Web sitesi operatörleri, Chrome'un engelleme eylemi 1 Kasım 2024'te başlamadan önce Entrust'tan verilen yeni bir TLS sertifikasını toplamayı ve yüklemeyi seçerek engelleme eyleminin etkisini geciktirebilirken, web sitesi operatörlerinin kaçınılmaz olarak Chrome Kök Mağazası'nda bulunan diğer birçok CA'dan birinden yeni bir TLS sertifikası alması ve yüklemesi gerekecektir. " dedi.

Entrust Yanıtları

Entrust, Google'ın duyurusuna yanıt olarak, gecikmeleri kabul etti ve "son birkaç ay" boyunca sertifika yetkilisi operasyonunun kapsamlı bir değerlendirmesinin ardından organizasyonunda, süreçlerinde ve politikalarında bir dizi değişiklik yaptığını söyledi.

Ayrıca, "Chrome ve diğer tarayıcı kök programlarıyla birlikte çalışarak, ortaya çıkan endişeleri gidermek ve aynı zamanda bu değişiklikleri gerçekleştirirken müşteriler için süreklilik sağlamak" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.