bencede
New member
Globaltrust sertifikaları Chromium tarayıcılarından çıkıyor
Google, Avusturyalı iki nitelikli sertifika sağlayıcısından biri olan Globaltrust'u Chrome Kök Mağazasından kaldırır. Bu, tarayıcıların 1 Temmuz 2024'ten itibaren Globaltrust tarafından verilen sertifikaları güvenilir olarak kabul etmeyeceği anlamına gelir. Şu anda veya 30 Haziran'a kadar verilen sertifikalar etkilenmez; Bu sertifikalar geçerlilik süresi dolmadığı veya iptal edilmediği sürece Chromium/Chrome tarayıcılarla çalışmaya devam edecektir. Güncelleme, Chromium/Chrome tarayıcısının 124 sürümü için geçerlidir. Globaltrust, bir e-ticaret izleme GmbH markasıdır.
Duyuru
Tek bir somut sebep yok. Haziran sonuna kadar verilen geçiş süresi somut bir güvenlik açığının bilinmediğini gösteriyor. Aslında Avusturyalı şirket defalarca memnuniyetsizlik uyandırdı. Google çalışanı Chris Clements, ihraç bildiriminde “Son üç yılda birkaç durumda” e-commerce Monitoring GmbH'nin gereklilikleri karşılamadığını söyledi. “Bunun ışığında, 'Globaltrust 2020' sertifikalarının bütünlük kaybı yaşadığı ve Chrome kullanıcılarının çevrimiçi güvenliğini sağlamak için önlemler alınması gerektiği sonucuna vardık.”
Suiistimal örneği olarak Clements, Bugzilla hata takip cihazında 2021'den itibaren sekiz farklı girişten bahsediyor; buna göre Globaltrust, özellikle iptal işlevini test etmek için verilen bir test sertifikasını toplayamamak, ön sertifikalarla ilgili çeşitli sorunlar gibi teknik hatalar yaptı. ve iki sertifika iptal listesi (CRL) ile iptali veren kuruluş için Sertifika Yetkilisinin adından farklı bir ad kullanılır. Ayrıca Globaltrust, sertifikaların geri çekilmesi (işten çekilme) için sıklıkla yanlış bir neden sundu.
Globaltrust tepki vermek istiyor
Daha ciddi olanı, eleştirmenlerin görüşüne göre Globaltrust'un zaman zaman bilgilere yavaş yanıt vermesi ve olay raporlarının yetersiz olarak sınıflandırılmasıdır. Şirket yakın zamanda iyileştirme sürecinin yavaş ilerlemesini paralel denetimler ve yönetim değişikliğiyle haklı çıkardı ancak bu, eleştirmenleri hiç tatmin etmedi. Biri, Globaltrust'un geç veya yetersiz yanıt verdiği veya yetersiz olay raporu ürettiği hata mesajlarının bir listesini derledi. Bu bardağı taşıran son damla oldu.
Temel olarak herhangi bir kök sertifika veren kuruluş, son kullanıcılara riskten çok fayda sağlamalıdır. Google artık Globaltrust'ta durumun böyle olduğuna inanmıyor, bu yüzden yayıncı iptal ediliyor. e-commerce Monitoring GmbH'nin bir sözcüsü, “Bu karar, Google'ın Google program ekibiyle son üç yılda zayıf iletişim kurduğunu öne süren bir gerekçeye dayanıyor” dedi ve şunları söyledi: “Google tarafından öne sürülen davalar, teknik ve işlevsel yönlere göre önceliklendiriliyor Hizmetlerin güvenliği ve yasallığı hiçbir zaman sorgulanmamıştır (…) Doğal olarak Google'ın bahsettiği hariç tutma nedenini araştırıp Google CA programına dahil olmak için hizmet seviyemizi iyileştireceğiz. Ancak şimdilik Mozilla (Firefox) ) ayrıca iptal edilme riskiyle karşı karşıyadır.
e-ticaret izleme GmbH
Globaltrust, sunucu sertifikalarına ek olarak denetime dayanıklı zaman damgaları, yazarkasa sistemleri için sertifikalar, belgeler için imzalar, yazılım kodları, e-postalar ve diğer belgeler ile ürünlerin enerji tüketimi etiketlemesi için Avrupa veritabanındaki bilgiler için elektronik mühürler de sunmaktadır ( EPREL).
Başlangıçta Avusturya veri koruma kuruluşu Arge data'nın bir yan kuruluşu olan e-ticaret Monitoring GmbH, Şubat ayından bu yana Yunan-Avusturya şirketi Avusturya Kartı'na aitti. Atina ve Viyana'da listelenen bu şirket, güvenli akıllı kartlar, yani plastik satıyor. banka ve kredi kartları, elektronik cüzdanlar veya erişim ve oturum açma sistemlerinde kullanılanlar gibi çiplerle. Avusturya Kart'ın müşterileri arasında bankalar, sigorta şirketleri, kamu kurumları, ağ operatörleri, piyangolar, havayolları, enerji tedarikçileri, perakende grupları vb. yer almaktadır.
Kök sertifikalar
Şifreli iletimlerde yalnızca verinin taşıma sırasında korunması değil, karşı tarafta veriyi kimin aldığı ve şifresini çözdüğü de önemlidir. Sertifikalar, verilerin yanlış ellere geçmemesi için uzak istasyonun kimliğini garanti eder. Kök sertifikalar, bunlara dayalı sertifikaların gerçek olduğunu ve sahibinin kimliğinin gerçekten doğrulandığını garanti eder.
Ancak yazılımın kök sertifikalara güvenmesi yeterlidir. Bu nedenle, “güven deposu” adı verilen güvenilir kök sertifikaların bir listesine ihtiyacınız var. Güvenin yüksek olması gerekir çünkü kötü niyetli bir yayıncı, sahte kimliklere sahip sunucular için sertifikalar onaylayarak kullanıcıları aldatabilir ve aktarım sırasında güvenli bir şekilde şifrelenen veriler yanlış ellere geçebilir.
Chrome gibi Chromium tarayıcıları uzun süredir çalıştıkları işletim sistemlerinin güven depolarına güveniyordu. 2022 itibarıyla Chromium ve Chrome, dahili Chrome Kök Mağazasını kullanıyor (Apple'ın buna izin vermediği iOS hariç). Aynı durum, kendi Mozilla Kök Mağazasına da sahip olan Firefox gibi Mozilla tarayıcıları için de geçerlidir. Ve orada da Globaltrust'un ihraç edilmesini düşünüyorlar.
(ds)
Haberin Sonu