SSL Sertifikası Güncelleştirmesi: SHA-1’den SHA-256’ya Geçiş

LastPass kullanıcı topluluğuna özel haber bülteni:

LastPass kullanıcılarına en etkili güvenlik hizmetini sağlamak amacıyla süregelen çalışmalarımız doğrultusunda, bu gece, LastPass.com sayfamızda kullanılmakta olan SSL sertifikası olan SHA-1 sertifikasından SHA-256 sertifikasına geçiş yapılacaktır. Kullandığımız sertifika yine, Thawte Gelişmiş Doğrulama Sertifikası (EV) özelliği taşıyacaktır.

Neden bu zaman dek beklediğimize gelince… Bu sürece geçtiğimiz yıl başlamamıza rağmen, eski XP sürümlerini kullanmayı sürdürmemiz sebebiyle çalışmalarımız gecikmeye uğradı. Şu sıralar Google ve diğer servis sağlayıcıları SHA-256 sertifikasını önceden önlem alarak devreye soktuklarından ötürü, yaşanacak geçiş sürecinden kullanıcı topluluğumuzun minimum düzeyde etkileneceği konusunda hemen hemen eminiz.

Tüm bu değişiklikler gizli bir şekilde gerçekleşecek olup, LastPass kullanıcılarının herhangi bir sorunla ya da kullandıkları serviste aksaklıkla karşılaşması söz konusu olmayacaktır. Konuya ilişkin bildirimde bulunmak veya kaygılarınızı gidermek için lütfen aşağıdaki bölüme yorum yazarak ya da destek ekibimizle iletişime geçerek bizi bilgilendirin.

SHA-kaç?

İyi de mesele ne diye meraklanıyor musunuz?

Bir web sitesine ait URL linkinde hepimiz “kilit” simgesi ve linkin başında HTTPS ifadesi ararız. Bu detaylar, web sitesi bağlantısının güvenli olduğunu gösterir. Bu güvenli bağlantı, SSL sertifikası ile oluşturulur (HTTPS ifadesindeki “S” güvenli anlamındaki “Secure” kelimesinden gelir ve SSL’den alınmadır). Sertifika Kuruluşları (CA) tarafından hazırlanan SSL sertifikası, bağlantınızı şifreleyip, gerçek bir web sitesine bağlantı kurduğunuzu doğrular.

Sertifika Kuruluşu, tek yönlü karma algoritmasından geçirerek sertifikayı sıkıştırıp, sonrasında sertifikanın sıkıştırılmış sürümünü kriptoyla “imzalar”. SSL sertifikası kullanılan çoğu web sitesinde, bu karmayı oluşturmak üzere SHA algoritmasından faydalanılmakta olup, SHA-1 en sık kullanılan türüdür. Her web sitesi sertifikasının, benzersiz tek yönlü karması bulunur. Tarayıcınız web sitesinin sertifikasını değerlendirirken, bizzat SHA-1 karmasını hesaplayıp, ardından söz konusu web sitesinin doğrulanmış olarak sunduğu imzalı karma ile bu değeri karşılaştırır. Karmaların eşleşmesi halinde, tarayıcınız web sitesine izin verir ve bilgilerinizin güvende olduğundan emin olursunuz.

Güncel sorun ise, SHA-1 algoritmasının artık eskisi kadar güçlü olmayışıdır. Artık bilgisayarların daha hızlı ve ekonomik oluşu göz önüne alınarak, saldırganların, güvenlik sertifikalarının sahtelerini oluşturma ve tarayıcıya doğru web sitesine bağlanıldığı izlenimi vererek tuzağa düşmemize sebep olma riski gitgide artmaktadır.

Günümüzde tedarikçi firmalar, güvenliği arttırmak ve saldırı riskine karşı koruma sağlamak amacıyla daha güçlü yeni nesil SHA-2 algoritmasına geçiş yapmaktadır. SHA-2 daha uzun karmalar oluşturur ve SHA-1 algoritmasının savunmasız kaldığı saldırılara karşı şu an için daha dirençlidir. Tarayıcı olarak Chrome kullanıyorsanız, Google tarafından yavaş yavaş SHA-1 sertifikası uygulamasının sonlandırılıp, web deneyimini SHA-2 sertifikası ile daha ileriye taşıma girişimi kapsamında, sarı kilit simgeli sertifika uyarılarıyla karşılaşmaya başlamış olabilirsiniz.

Sonuç olarak bu geçiş, LastPass kullanıcılarının uygulama deneyiminde herhangi bir olumsuz etkide bulunmayacağı gibi, sürekli devinim halindeki Web’te verilerinizi güvende tutma görevimize katkıda bulunacaktır. Böylece LastPass aracınız, her zamankinden de daha güvenli olacak.

 

Bizi takip ettiğiniz için sonsuz teşekkürler,

LastPass Ekibi