Merhabalar, bu yazımızda bilgisayarımızda bulunan Microsoft tarafından Kök Sertifikalar deposuna eklenmiş sözde güvenilir sertifikaların işlevsiz hale getirmek için yapılması gerekenleri anlatacağım.
Öncelikle kök sertifika nedir bununla başlayalım. Bir web sitesine girdiğimizde tarayıcının sağ üst köşesinde güvenli kilit simgesi çıkar. Bu simgeye tıkladığımızda bağlantı güvenli ve sertifika geçerli yazısını görüyoruz.
Tarayıcımız bu sitenin sertifikasına windowsunuzun kök sertifika deposunda olup olmadığına bakarak karar veriyor. Tabi ki tüm tarayıcılarda bu geçerli değil. Örneğin Firefox tarayıcısı kendi güvenli kök sertifikası deposuna bakarak karar veriyor. Fakat Chrome, Edge, Opera gibi çoğu tarayıcı veya bilgisayarınızda ki Whatsapp, Skype gibi uygulamalar windowsun kendi kök sertifika deposuna bakarak karar veriyor.
Resimdeki sertifika geçerli yazısına tıkladığımızda bizi aşağıdaki gibi bir pencere karşılıyor.
Burada Sertifika Yolu sekmesine tıklıyoruz.
Resimde görüldüğü gibi Microsoft tarafından windowsumuza “GlobalSign Root CA-R1” isimli Kök Sertifika eklenmiş. Bu sertifikaya sahip şirket veya şahıs istediği kadar alt sertifika oluşturup imzalayıp tüm dünyadaki windows işletim sistemine sahip bilgisayarların bu oluşturduğu sertifikaya güvenmesini sağlatıyor. “GTS Root R1” isimli yeni bir sertifika ile “GTS CA 1C3” isimli dağıtıcı sertifika oluşturulup imzalanmış. En son da “GTS CA 1C3” sertifikası ile www.google.com alan adı için bir sertifika oluşturulup imzalanmış. Bu sertifikaların bir public keyi birde private keyi bulunuyor. Public key herkes tarafından görülürken private key sadece alan adındaki web sunucusunda bulunmaktadır. Artık Asimetrik şifreleme için gerekli koşullar hazır.
Tarayıcımızdan www.google.com adresine girdiğimizde ilk başta tarayıcımız bu sertifika zincirini kontrol ediyor eğer doğruysa Https sürecini başlatıyor.
Resimde www.google.com alan adına verilmiş sertifikanın ortak anahtarı yani public keyi görülüyor. Tarayıcımız kendisi bir AES simetrik şifreleme için anahtar oluşturup bunu bu public key ile şifreleyip google sunucusuna gönderiyor. Bu şifrelenmiş veri sadece bu sertifikanın private keyi ile çözülebilir. Google sunucusu bu şifrelenmiş veriyi alıp kendi private keyi ile çözüp tarayıcınızın göndermiş olduğu AES key hem tarayıcınız hem google sunucusu ikisi de mutabık kalıp artık aranızdaki tüm iletişim şifrelenmiş bir şekilde devam ediyor. Artık google sunucusu ile tarayıcınız arasındaki veri akışı tamamen şifreli ve kimse tarafından çözülemez ne kullandığınız internet servis sağlayıcı ne devletiniz nede verileriniz Amerika’ya giderken geçtiği ülkeler tarafından . Derken konumuz olan kök sertifikalar devreye giriyor…!
Bu adreste Microsoft’un güncel olarak yayınladığı bilgisayarlarınızın güvendiği kök sertifikaları görebilirisiniz. Yukarıda da bahsettiğim gibi bu sertifikalara sahip tüm şahıs veya şirketler girmiş olduğunuz web sitesinin alan adına sertifika oluşturup veri trafiğinizi izleyebilirler.
Listeyi incelerse şüpheli sertifikaları görüyoruz:
Government of Brazil, Instituto Nacional de Tecnologia da Informação (ITI)
Government of Finland, Population Register Centre’s (Väestörekisterikeskus, VRK)
Government of France (ANSSI, DCSSI)
Government of Hong Kong (SAR), Hongkong Post, Certizen
Government of India, Ministry of Communications & Information Technology, Controller of Certifying Authorities (CCA)
Government of Japan, Ministry of Internal Affairs and Communications
Government of Korea, KLID
Government of Lithuania, Registru Centras
Government of Mexico, Autoridad Certificadora Raiz de la Secretaria de Economia
Government of Saudi Arabia, NCDC
Government of South Africa, Post Office Trust Centre
Government of Spain, Autoritat de Certificació de la Comunitat Valenciana (ACCV)
Government of Sweden
Government of Taiwan, Government Root Certification Authority (GRCA)
Government of The Netherlands, PKIoverheid (Logius)
Government of Tunisia
Government of Turkey, Kamu Sertifikasyon Merkezi (Kamu SM)
Government of Uruguay, Agency for E-Government and Information Society (AGESIC)
Government of Venezuela, Superintendencia de Servicios de Certificación Electrónica (SUSCERTE)
Daha nice buradan paylaşamayacağım devlet destekli şirketler…
Peki nasıl engelleyeceğiz?
Win + R tuşlarına basıp çalıştır ekranını açıyoruz. “certlm.msc” yazıyoruz.
Tamam tuşuna bastıktan sonra bizi aşağıdaki ekran karşılıyor.
Sağ taraftan Güvenilen Kök Sertifika Yetkilileri sonrasında Sertifikalar sekmesine tıklıyoruz. Burada şuana kadar ki sorgulanan güvenilen kök sertifikaları görüyoruz. Güvenmediğiniz sertifikaları sürükle bırak ile sağ taraftaki güvenilmeyen sertifikalardan sertifikalar sekmesine sürüklüyoruz. İşte bu kadar!
Artık bilgisayarınız bu sertifikalara güvenmeyecek ve veri iletişimi yapmayacaktır. Fakat Microsoft’un bu listeyi sürekli güncellediğini unutmayın ve sürekli kontrol edin yeni sertifikalar eklenmiş olabilir.
En önemli konu ise kullanmış olduğunuz güvenli sandığınız yazılımlar veya düşmanlarınız buraya kendi sertifikalarını eklemiş olup sizi izliyor olabilirler. Yukarıda linkini vermiş olduğum Microsoft’un güvenilen kök sertifikalar listesinde olmayan tüm sertifikaları güvenilmeyen sertifikalara eklemeniz gerekmektedir.
Güvende kalın.
İyi Çalışmalar.