İnternet devi Google yaptığı açıklamada, TurkTrust tarafından EGO Genel Müdürlüğü (www.ego.gov.tr) için üretilen web sertifikası üzerinden ''sahte'' bir google.com sertifikası üretildiğini belirterek, söz konusu durumun ciddi bir güvenlik riski taşıdığını açıkladı.
Ayrıca söz konusu firmaya ait KKTC Merkez Bankası (www.kktcmerkezbankasi.org) için üretilen bir sertifikanın da güvenlik nedeniyle askıya alındığını açıklayan Google, kullanıcılarını sistemleri üzerinde güncelleme yapmaları uyarısında bulundu.
Siber dünyada büyük yankı uyandıran olay sonrası tüm gözler TürkTrust'a çevrildi. Şirket tarafından yapılan yapılan yazılı açıklamada, TürkTrust'ın 2005 yılından beri SSL sertifika hizmeti verdiği, hizmetlerinin de 20 Aralık 2011 tarihinden itibaren ''ETSI TS 102 042 ESHS Yönetim Sistemi Standardı'' uyarınca belgelendirmiş ilk ve tek yerli kuruluş olduğu açıklandı.
TürkTrust İş Geliştirme Müdürü Atilla Biler, yaptığı açıklamada, 2011 yılının Ağustos ayında kendi sistemlerinin yazılım güncelleme çalışmaları sırasında, ''https'' uzantılı internet sitelerinin güvenilirliğini denetleyen SSL sertifikalarının üretiminde sadece 2 adet sertifikanın hatalı üretildiğini söyledi.
Söz konusu bu sertifikalardan birisinin Ankara Büyükşehir Belediyesine bağlı EGO Genel Müdürülüğü, diğerinin ise KKTC Merkez Bankası için üretildiğini ifade eden Biler, KKTC Merkez Bankası için üretilen sertifikanın daha ilk kullanımda hatalı olduğunun tespit edildiğini ve derhal iptal edildiğini kaydederek, EGO'ya verilen sertifikanın ise 1 yıldan bu yana web mail sistemlerinde kullanıldığını vurguladı.
Biler, Google, Microsof ve Mozilla'nın askıya aldığı sertifikaların sadece EGO ve KKTC Merkez Bankası'ndaki sertifikalar olduğuna dikkati çekerek, diğer müşterilerini etkileyecek herhangi bir durumun söz konusu olmadığının altını çizdi.
Bu arada EGO yetkilileri de yaptığı açıklamada TürkTrust'tan aldıkları web güvenlik sertifikasındaki sorun nedeniyle yaklaşık 1 hafta süreyle internet üzerinden bazı hizmetleri veremediklerini ifade ederek, olayın ortaya çıkmasının ardından TürkTrust'ı bilgilendirdiklerini kaydetti.
Bunun üzerine TürkTrust'tan yeni bir güvenlik sertifikası alarak sistemlerine entegre entegre ettikleri açıklayan EGO yetkilileri, bu süre içinde bilişim alt yapılarında herhangi bir güvenlik açığının yaşanmadığını vurguladı.
SSL adıyla bilinen sertifikalar internet ağlarındaki bilgi transferi sırasında güvenlik ve gizliliğin sağlanması amacıyla Netscape tarafından geliştirilmiş bir güvenlik protokolüdür. Microsoft Explorer, Google Chrome, Mozilla Firefox, Apple Safari gibi dünyadaki tüm internet tarayıcılarının desteklediği bir standart haline gelen SSL güvenlik sertifikaları internette güvenli ve gizli veri trafiğini sağlamaktadır.
SSL sertifikalar gönderilen bilginin sadece doğru adreste deşifre edilebilmesini sağlarken, gönderilen bilginin otomatik olarak şifrelenmesini ve sadece doğru alıcı tarafından deşifre edilebilmesine imkan tanır. Bu sayede çift taraflı doğrulama yapılarak işlemin ve bilginin gizliliği korunur.
Bilişim uzmanları SSL üzerindeki veri akışının korunması için kullanılan 128 bitlik şifrenin kötü niyetli birileri tarafından kırılabilmesi için en az 1 milyon dolarlık bir teknik alt yapı ile 50 yıldan fazla bir zamana ihtiyaç duyulduğuna bildiriyor.
