Sertifikada yanlış URL: CERT-Bund web sitesine hafta sonları erişilemiyor

3 Ocak 2025 akşamı ile 6 Ocak Pazartesi öğle yemeği arasında CERT-Bund'un (Bilgisayar Acil Durum Müdahale Ekibi Bund) Uyarı ve Bilgilendirme Hizmetini (WID) ziyaret etmek isteyenlerin tarayıcıları tarafından sıklıkla engellendi. . Sertifikasyon kuruluşu, BSI ve Telekom Güvenlik tarafından yönetilen hizmetin sertifikasını geri çekmişti. Sebebi: Özel bir sertifika uzantısında iki “http” URL'si gizlenmişti: bu kurallara uymuyordu.

Duyuru

“qcStatements” adı verilen uzantı, “PKI Açıklama Beyanlarının” URL'lerini, D-Trust CA durumunda ise iletişim adreslerini, iş akışlarını ve ilgili düzenlemeleri içeren yaklaşık otuz sayfalık bir PDF içerir. Uzantı, normal TLS web sitesi sertifikaları için gerekli değildir ancak Nitelikli Web Sitesi Kimlik Doğrulama Sertifikaları olan QWAC'ler içindir. Ve CERT-Bund hizmetinin söylediği de budur. Ancak QWAC'ın satın alma yönergelerine göre açıklama beyanlarının yalnızca HTTPS üzerinden kaydedilmesi gerektiği öngörülüyor. Bu nedenle sertifikada “https” bulunmaması, CERT-Bund web sitesinde hatalı HTTPS bağlantılarına yol açtı.

Kuralların ihlali, D-Trust'ta yılbaşı gecesi öğle saatlerinde meydana geldi: Yeni Yıl Günü'nde CA, toplam yaklaşık 60 ana makine adı için 25 sertifikayı geri çekmeye ve yeniden yayınlamaya karar verdi. D-Trust hizmetinin operatörü Bundesdruckerei'nin sözcüsü Haberler Security'ye, değişim sertifikalarının 3 Ocak öğle vakti mevcut olduğunu ve etkilenen müşterilerin bilgilendirildiğini söyledi.

Bundesdruckerei sözcüsü, CERT-Bund web sitelerine tekrar erişilebilmesinin neden iki gün daha sürdüğü konusunda yorum yapmadı;

Federal Noterler Odası ve “Governikus eID Hizmeti”nin bazı alt alanları da 3 Ocak'ta yeni sertifikalar aldı ve aynı gün yükledi. Borsanın kullanıcıları tarafından fark edilmesi pek olası değil.

Sertifika oluşturma yönergelerinin “Mozilla CA Programı”ndan sorumlu kişiler, Chrome ekibi veya CA'lar ve yazılım satıcılarının bir birliği olan CA/Tarayıcı Forumu'ndaki diğer katılımcılar tarafından ihlal edilmesi nedeniyle genellikle sertifika yetkililerine erken başvurulur. Çok fazla suç işleyenler, sertifikalarının tarayıcılardan ve dolayısıyla piyasadan dışlanması riskiyle karşı karşıya kalıyor. Kural ihlallerinin düzeltilmesi için genellikle yalnızca birkaç gün süren süreler, 2024 yılında yetkili makamlar açısından halihazırda hukuki sonuçlar doğurmuştur. Her halükarda, bu yanlış adımlar halının altına süpürülemez: Sertifika Şeffaflığı sayesinde her sertifika, kalıcı veritabanı.


(cku)


Yayımlandı

kategorisi

yazarı:

Etiketler:

Yorumlar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir