Türk sertifika kurumu TürkTrust’ın 2011 yılının Ağustos ayında yanlışlıkla dağıttığı iki sertifika, aradan geçen bir buçuk yılın ardından geçtiğimiz hafta Google tarafından fark edilerek sahte oldukları gerekçesiyle iptal edildi. Google’ın uyarısını takiben Microsoft ve Mozilla şirketleri de söz konusu sahte sertifikaları iptal ettiklerini açıkladı.
Google’ın resmi blogundan yapılan açıklamada, 24 Aralık tarihinde Chrome üzerinde biri *.google.com” uzantılı olmak üzere iki yetkisiz güvenlik sertifikasına rastlandığı ve bunların bloke edildiği belirtiliyor. Yaptığı araştırmada sorunun TürkTrust tarafından verilen aracı sertifikadan kaynaklandığını öğrendiklerini ifade eden Google, bu durumun taklit amacıyla herhangi bir web sitesi için bir sertifika oluşturmada kullanılmasına yol açabileceğinin altını çizdi.
İki sertifikanın sadece biri izinsiz site oluşturmak için kullanılırken, Chrome’da güncellemeye giden Google, diğer şirketleri de uyardı. Microsoft, yayınladığı “Microsoft Security Advisory (2798897)” adlı belgede Google ile benzer bir açıklama yaparak TürkTrust bağlantılı sertifikaları engellediğini duyurdu. “*.EGO.GOV.TR” ve “e-islam.kktcmerkezbankasi.org” adresli iki yanlış sertifika yetkilendirmesi bulgusuna ulaştıklarını kaydeden şirket, bunların bir tanesinin sahte dijital sertifikalar oluşturulmasında kullanıldığına dikkat çekti.
Mozilla ise kendi duyurusunda Türktrust’ın kök sertifikaları dahil bütün eylemlerini askıya aldığı bilgisini paylaştı. TürkTrust’ın kök dosyasındaki değişiklik talebini değerlendirmeye alan şirket, aldığı önlemleri uygulamaya devam etti.
TürkTrust cephesinde ise durum vahim. Bir sertifika kurumu olarak itibarı uluslararası çapta yara alan şirket savunmasında, olayın 2011 yılının Ağustos ayında şirketlere SSL sertifikası yerine yanlışlıkla CA sertifikası verilmesinden ibaret olduğunu, arkasında herhangi bir güvenlik ihlali, saldırı veya hack amacı bulunmadığını vurguladı. Sorunun özünde sadece bir hatalı veri taşıma işleminin yattığına değinen şirket, denetimlerinin başarılı bir şekilde devam ettiğini ekledi.
Bir gün Ssl için Türktrust seçecektim. Yanımdaki kişi “neden?” diye sordu. Ne denem neden dedim. “Onca bilindik yer varken neden Türktrust?” diye tekar sordu. Bir türk firmasına katkımız olsun diye dedim. Milyon TL’lik işlem yapan sanalspo için çok cesaretli bir yaklaşım dedi. O cümleden sonra sonra vazgeçtim. Onun haklı çıkmış olmasına çok üzüldüm. Gerçekten ticaret zor iş.