Hizmetlerimiz

SSL Güvenli Sunucu Sertifikası

Teknik Detaylar

(Son Güncelleme - 21:50, 07 Ocak 2013)

Oluşan hatanın kaynağı ile ilgili teknik ayrıntıları aşağıda bulabilirsiniz:

Hatanın, Kasım 2011 tarihinde başarıyla tamamlanan ETSI TS 102 042 denetiminde önce Ağustos 2011 ayında yapılan yazılım güncellemesi sırasında oluştuğu tespit edilmiştir. Hatalı iki sertifika üretimine yol açan olaylar aşağıdaki gibi gerçekleşmiştir:

  • 2011 yılının Haziran ayından önce, üretim sisteminde yer alan sertifika şablonları test sistemine taşınmıştır.
  • Test amacıyla, bu test sistemindeki şablonlara, sertifika imzalama uzantısı da olan 2 yeni şablon eklenmiştir.
  • Aynı dönemde, üretim sistemindeki şablonlara, sertifika talebine bağlı ihtiyaç nedeniyle 3 yeni SSL şablonu eklenmiştir. Böylece, üretim sistemi ile test sistemi arasındaki şablonlar arasında bir fark oluşmuştur. Buna göre, üretim sistemindeki 3 yeni şablon test sisteminde bulunmazken, test sistemine eklenen ve sertifika imzalama uzantısı barındıran 2 şablon da üretim sisteminde -olması gerektiği şekilde- yer almamış haldedir.
  • 30 Haziran 2011 tarihiyle birlikte testler tamamlanmış ve yeni yazılım sürümünün test sisteminden üretim sistemine aktarımına karar verilmiştir. Bu aşamada, test sisteminde yer alan şablonlar -eksik olmanın yanında 2 de hatalı şablon içerdiği halde- talihsiz bir biçimde üretim sistemine aktarılmıştır.
  • Hatalı şablonlar, 8 Ağustos 2011 tarihinde, aslında sıradan SSL sertifikası olacakken sertifika imzalama yetkisine sahip 2 hatalı sertifikanın üretilmesine yol açmıştır.
  • 10 Ağustos 2011 tarihinde yeni bir SSL sertifikası talebi, üretim sisteminde eksik kalan şablonun kullanımını gerektirmiş ve yazılım “hata” vererek işlemi kesmiştir. Duruma hızla müdahale edilmiş ve sorunun “eksik” bir şablondan kaynaklandığı tespit edilmiştir. Bu sefer, test sistemi yerine arşiv verilerine başvurulmuş ve 30 Haziran 2011 tarihi öncesinde üretim sisteminde yer alan şablonlar sisteme bir kez daha aktarılmıştır. Sorunun giderildiği görülmüş ve bu nedenle önceki verilerde “eksik” olma dışında “başka bir hata” olup olmadığının incelenmesine gerek duyulmamıştır. Dolayısıyla, hatalı üretilen iki sertifikanın tespit edilmesi mümkün olamamış ve hata gizli kalmıştır.

Hatalı iki sertifika üretimine yol açan olaylar zincirinin aynen burada anlatıldığı gibi gerçekleştiği kesin olarak tespit edilmiştir. İlgili tüm veri arşivimizde bulunmaktadır ve olaylar geriye doğru takip edilerek hatanın tam olarak nasıl gerçekleştiği anlaşılmıştır. Olayın neden sadece bir kez gerçekleşmekle sınırlı kaldığı ve nasıl düzeldiği de ortaya çıkmıştır.

Sistemlerimizdeki iyileştirmeler ve uygulamalarla 2011 yılının Kasım ayında ETSI TS 102 042 denetimi başarıyla belgelendirilmiştir. Sistemlerimiz benzer hataların oluşmasına karşı korunmasına ve denetim sonrasında hiçbir hatayla karşılaşılmamış olmasına karşın, sistemlerde önleyici yeni tedbirler de alınmıştır.

Son kullanıcı sertifikalarının kontrolü için alınan tedbirlerden birisi üretim sonrası sertifikaların bağımsız bir servis tarafından kontrol edilmesi, diğeri ise sertifika üretim modülü içine eklenmiş gerçek zamanlı kontroldür.

Üretim sonrası kontrol ile, üretilen fakat henüz kaydedilmeyen bir sertifika için şu kontroller yapılmaktadır: Sertifikanın geçerlilik süresinin 3 yıl veya daha az olması, basic constraints CA uzantısının belirlenmemiş olması, AIA (Otorite Bilgi Erişimi) ve CRL dağıtım noktası uzantılarının bulunması. KeyUsage uzantısı da sertifika profiline göre kontrol edilmekte ve son kullanıcı sertifikasına uygunluğuna bakılmaktadır. Üretim sonrası kontrolü her son kullanıcı sertifikası üretiminde, son kullanıcı sertifika üretim modülünden bağımsız bir servis olarak çalışmaktadır. Kontrol aynı zamanda, bir kron olarak konfigüre edilebilmekte ve veritabanındaki sertifikaları kontrol edebilmektedir.

Gerçek zamanlı kontrol ise, bir son kullanıcı sertifikasında basic constraints CA uzantısını belirlenmemesini zorlar. AIA ve CRL dağıtım noktası uzantılarının varlığını ve sertifikanın geçerlilik süresinin 3 yıl veya daha az olduğunu kontrol eder. Bu kontrol son kullanıcı sertifika üretim modülünün içine gömülmüştür.

Her iki kontrol de 3 Ocak 2013 tarihi itibarıyla üretim sistemine yüklenmiş ve çalışır durumdadır.

OCSP ve CRL verilerimiz de ayrıntılı bir biçimde incelenmiş ve hatalı üretilen sertifikanın kullanımına dair bir anormal veri olup olmadığına bakılmıştır. Sistem kayıtlarımızda olağan dışı bir veri bulunmamaktadır.

Aşağıdaki hususların da şu aşamada dikkatle değerlendirildiği not edilmektedir:

  1. Hatalı üretilen iki sertifikadan bir tanesi müşterinin yaşadığı sorun nedeniyle kullanılmadan iptal edilmiştir.
  2. 6 Aralık 2012 tarihinde önce, diğer sertifika web tabanlı e-posta hizmeti veren bir IIS sunucu üzerine kurulmuştur. 6 Aralık 2012 tarihinde ise güvenlik duvarı değişikliği yapılmış ve yeni marka bir güvenlik duvarı kurulmuştur. Mevcut sertifikanın bu güvenlik duvarına taşınması sonrası, ilk kez MITM proxy özelliğinin devreye alınma tarihinin 21 Aralık 2012 olduğu güvenlik duvarı firması ve kurum yetkilisi tarafından tarafımıza bildirilmiştir. Aynı gün kurum yerel ağında bulunan Chrome tarayıcılarının, Google sitelerine bağlanırken bağlantı hatası vermeye başladıkları da belirtilmiştir. Bu güvenlik duvarının bir MITM proxy (man-in-the-middle; SSL trafiğini keserek üzerinden aktarma amaçlı) olarak konfigüre edilmiş olmasının izleyen olaylarda kritik bir öneme sahip olabileceği değerlendirilmektedir.
  3. Bu sertifikanın, 6 Aralık 2012 başlangıç tarihli hatalı bir sertifikanın (*.google.com) imzalanmasında kullanıldığı bildirilmiştir. Bu bildirimle ilgili çarpıcı gerçekler aşağıdaki gibidir:
    1. Google, Google Internet Authority’den temin ettiği https://encrypted.google.com sitesinde çalışan sertifikasını 6 Aralık 2012 tarihinde yenilemiştir. Sertifika bu sayfadan kontrol edilebilir.
    2. Bu sertifika ile hatalı olan sertifikanın, “serial number, CRLDistributionPoint, SubjectKeyIdentifier, AuthorityKeyIdentifier, and AuthorityInformationAccess” alanları dışında kalan diğer tüm alanlarda birebir aynı olmasının bir rastlantıdan daha fazlasını gerektirdiği değerlendirilmektedir. Güvenlik duvarının MITM proxy olarak konfgüre edilmesi halinde, üzerinde yüklü olan ve BasicConstraints CA uzantısı bulunan bir sertifikadan otomatik olarak sertifika ürettiği iyi bilinen bir gerçektir (Daha fazla bilgi için URL-1 ve URL-2 adreslerine bakılabilir «« Uyarı »»).
    3. Bu senaryonun, hatalı sertifikanın üretimini açıklayan oldukça gerçekçi bir senaryo olduğu değerlendirilmektedir. Bu veri ve diğer tüm veriler *.google.com sertifikasının hileli veya kötü niyetli bir amaçla kullanılmadığını kuvvetle göstermektedir.
    4. Hatalı sertifika, konunun Google tarafından 26 Aralık 2012 tarihinde tarafımıza bildirilmesinin ardından derhal iptal edilmiştir. “Public key pinning” yönteminin Google tarafından kendisine ait bazı alan adlarında kullandığı da iyi bilinen bir gerçektir (Açıklama için http://ssl.entrust.net/blog/?p=615 adresine bakınız). Bunun, hatalı sertifikanın (MITM proxy sertifikası) Google tarafından nasıl tespit edilmiş olacağının en muhtemel açıklaması olduğu değerlendirilmektedir.

Şu an itibarıyla, sistemlerimizde bir güvenlik açığı oluşmamış olduğu kesindir. Ayrıca, hatalı sertifikanın kötü niyetle kullanıldığına dair en ufak bir delil bulunmamaktadır.

Saygılarımızla,
TÜRKTRUST A.Ş.