Birçok Web Tarayıcısı HTTPS Güvenliğini Artıran Safari’nin İzinden Gidiyor

Apple, geçtiğimiz Şubat ayında Safari tarayıcısındaki HTTPS güvenliğini artıracağını ve yeni önlemlerin 1 Eylül’den itibaren kullanıma sunulacağını duyurmuştu. Teknoloji dünyasında beliren yeni haberler, diğer tarayıcıların da Apple’ın izinden gittiğini gösteriyor.

Apple, aldığı kararla sadece son 13 ay içinde yayınlamış olması koşuluyla HTTPS sertifikalarını kabul edeceğini açıklamıştı. HTTPS, HTTP standart web protokolünün güvenli versiyonunu temsil ediyor. Bu protokol, tarayıcı kullanıcısı ile sunucu arasındaki trafiği her iki yönde şifreliyor.

HTTPS’in özelliği, teknik terimde “aradaki kişi” olarak ifade edilen saldırılara karşı koruma sağlaması. Bu saldırı türünde siber korsan masum görünen bir isimle Wi-Fi ağı oluşturuyor, ardından ağ üzerinde akan tüm trafiği ele geçiriyor. Normal HTTP kullanılması halinde ağdaki tüm kullanıcı isimleri ve şifreler korunmasız bir şekilde ifşa ediliyor. HTTPS ise bu durumu ortadan kaldırıyor.

Bir web tarayıcısının HTTPS protokolü bulunan sayfaya bağlanabilmesi için tarayıcı, sayfanın geçerli güvenlik sertifikası olup olmadığını kontrol ediyor. Böylece denetleyici organlar tarafından web sayfasının gerçekten şifreli olduğu doğrulanabiliyor.

Sertifikalar bir web sayfasının sadece sunulduğu zaman standart kabul edilen bir HTTPS şifreleme protokolü kullandığını göstermeye yarıyor. Kısacası yüksek olasılıkla protokolün standart kabul edildiği zamanın öncesine rastlayan sertifikalar güncel güvenlik önlemleri barındırmıyor. Ayrıca, siber korsanların müdahale ettiği sertifikalar kullanıcıları yanıltarak tehditlere kapı aralıyor. Bu yüzden HTTPS protokollerinin olabildiğince güncel olması, yani kısa süreli sertifika içermesi, kötü amaçlı müdahale riskini de azaltıyor.

Mozilla ve Chrome’dan benzer adımlar

Safari, son kararın öncesinde 825 gün öncesine kadar uzanan sertifikaları kabul ediyordu. Yeni kararla, 1 Eylül’den itibaren en fazla 398 günlük (13 ay) sertifikalar kabul edilecek. Safari, eski tarihli sertifikaya sahip bir sayfaya giriş yapılmak istendiğinde kullanıcıları güvenlik riskine karşı uyaracak.

Apple’ın aldığı kararın ardından, Mozilla (Firefox) ve Google da (Chrome Web Tarayıcısı) benzer adımlar atmaya karar verdi. Her iki tarayıcı, 1 Eylül’den geçerli olmak üzere 398 günden daha eski TLS sertifikaları için hata kodu verecek.

Tarayıcıların güvenlik adına attığı adım kullanıcılar adına önemli olsa da sertifikaları yayınlayan CA/B Forum adlı organ bu durumdan pek hoşnut değil. Sertifika otoritelerini bir araya getiren forum, yeni uygulama altında bilişim teknolojileri (IT) ekiplerine fazlasıyla iş yükü bineceğini belirtti.

Aradaki Kişi Saldırısı – Man in the Middle Attack hakkında daha fazla ayrıntı için buraya tıklayabilirsiniz.