Apple, HTTPS kullanan siteler için Safari güvenliğini artırma planlarını açıkladı

Apple, 1 Eylül'den itibaren güvenli web siteleri için Safari güvenliğini artıracağını duyurdu. Bu tarihten itibaren, tarayıcı yalnızca son 13 ay içinde verilen HTTPS sertifikalarını kabul edecektir.

Apple, HTTPS kullanan siteler için Safari güvenliğini artırma planlarını açıkladı

Bu teknik açıdan sağlam bir değişiklik olsa da, iki ayrı riske karşı daha fazla koruma sağlamalıdır…


Background
HTTPS, standart web protokolü HTTP'nin güvenli bir sürümüdür. Bu, kullanıcı ile sunucu arasındaki iletişimin her iki yönde de şifrelenmiş olduğu anlamına gelir.

HTTPS, "ortadaki adam" olarak adlandırılan saldırılara karşı koruma sağlar; burada birisi masum gibi görünen bir adla bir WiFi erişim noktası oluşturur ve daha sonra içinden geçen tüm trafiği yakalar. Sıradan HTTP ile, kullanıcı adları ve şifreler dahil olmak üzere tüm içerik düz metin olur. HTTPS ile saldırganın alacağı tek şey anlamsızdır.

Bir tarayıcının HTTPS web sitesine bağlanması için, sitenin geçerli bir güvenlik sertifikası olup olmadığını kontrol eder. Bu, aslında sitenin gerçekten şifrelenmiş olduğu üçüncü taraf denetiminin kanıtıdır.

Sertifikalar yalnızca bir web sitesinin yayınlandığı sırada en son HTTPS şifreleme standardını kullandığını gösterir; bu nedenle, daha önceki bir yayın tarihi, sitenin artık en son güvenliği kullanmadığı için daha fazla risk anlamına gelir. Ayrıca bir sertifikanın saldırganlar tarafından ele geçirilmesi ve değersiz hale getirilmesi tehlikesi vardır; sertifikanın geçerlilik süresini azaltmak da bu riski azaltır.

Apple’ın Safari güvenliğini artırma duyurusu
Safari, 825 gün öncesine kadar verilen sertifikaları kabul ederdi. TNW'nin bildirdiği gibi, şirket 1 Eylül'den itibaren 398 günden daha önce - 13 ay önce - verilen herhangi bir sertifikanın reddedileceğini söylüyor. Bu, Safari'nin sertifikanın güncel olmadığı konusunda sizi uyaracağı ve siteye bağlanma konusunda tavsiyede bulunacağı anlamına gelir.

Bu, işleri kullanıcılar için daha güvenli hale getirse de, bazıları Apple’ın planının istenmeyen sonuçlara yol açabileceğini gösteriyor. Bazıları bunun web sitelerini üçüncü taraf hizmetlerine daha bağımlı hale getirdiğini iddia ediyor. Bunların ücretsiz olduğu yerlerde bile, hizmetin risk altında olma veya tehlikeye girme riski vardır.

Bununla birlikte, birçok site, barındırma şirketinin sertifikalarla ilgilendiği WordPress gibi büyük bulut sitelerinde barındırılmaktadır, bu nedenle çoğu site için önemli bir sorun olmayabilir.