SSL güvenliğinde ikinci hayal kırıklığı
Ucuz SSL korumaları geçilebilirken, pahallı olanlar yıkılmıyor-du. Ama artık hiçbir şeye güvenmeyin.
Secure Socket Layer ya da kısa adıyla SSL, web sitelerinin güvenliğini sağlayan en yaygın teknoloji. E-ticaret sitelerinden, online bankacılığa kadar hemen her aşamada kullanıcıların güvenliğini sağlamak amacıyla SSL kullanılıyor. Size bir süre önce en önemli güvenlik teknolojilerinden SSL'in aslında pek de güvenli olmadığının ispatlandığını aktarmıştık. Fakat güvenlik firmaları bu testin sadece daha ucuz ve güvenlik seviyesi daha düşük olan SSL sertifikaları için geçerli olduğunu, daha gelişmiş şifreleme özelliklerine sahip, dolayısıyla daha pahallı SSL sertifikalarının hala güvenli olduğunu açıklamışlardı.
Ne yazık ki yanıldıkları ispatlandı. Alexander Sotirov ve Mike Zumsan adlı iki araştırmacı, e-ticaret ve bankacılık gibi önemli sistemlerde tercih edilen, son derece gelişmi ve oldukça pahallı olan SSL sertifikalarının da güvenlik sorunları yaşadıklarını ortaya çıkarttılar. Araştırmacılar önce ucuz bir SSL sertifikasını, pek fazla soru sormayan bir firmadan satın aldılar. Satıcı firma araştırmacıların aldıkları sertifikayı Mozilla.com sitesinde kullanacaklarını söylemelerine rağmen hiçbir şeyden şüphelenmeden satışı gerçekleştirdi. Daha sonra araştırmacılar bu sahte sertifikayı ve kendi yazdıkları bir javascript kodunu kullanarak, SSL sistemini aşmayı başardılar. Araştırmacılar sitelerin, dış kaynaklar ve sitelerden Google Analytics ve benzeri yardımcı kod kullanım alışkanlığı nedeniyle artık SSL güvenliğini geçmenin o kadar zor olmadığını belirttiler.