İnternette güvenli iletişimin sağlanması için Türkiye’deki bir bilişim sistemi üzerinden üretildiği iddia edilen ‘sahte’ google.com sertifikası Google, Microsof ve Mozilla’yı alarma geçirdi. İnternet devi Google yaptığı açıklamada, TurkTrust tarafından EGO Genel Müdürlüğü (www.ego.gov.tr) için üretilen web sertifikası üzerinden ‘sahte’ bir google.com sertifikası üretildiğini belirterek, söz konusu durumun ciddi bir güvenlik riski taşıdığını açıkladı. Ayrıca söz konusu firmaya ait KKTC Merkez Bankası (www.kktcmerkezbankasi.org) için üretilen bir sertifikanın da güvenlik nedeniyle askıya alındığını açıklayan Google, kullanıcılarını sistemleri üzerinde güncelleme yapmaları uyarısında bulundu.
Siber dünyada büyük yankı uyandıran olay sonrası tüm gözler TürkTrust’a çevrildi. Şirket tarafından yapılan yapılan yazılı açıklamada, TürkTrust’ın 2005 yılından beri SSL sertifika hizmeti verdiği, hizmetlerinin de 20 Aralık 2011 tarihinden itibaren ‘ETSI TS 102 042 ESHS Yönetim Sistemi Standardı’ uyarınca belgelendirmiş ilk ve tek yerli kuruluş olduğu açıklandı. Aynı zamanda Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera, Apple Safari, Blackberry gibi pek çok internet tarayıcısı ve mobil cihaz üreticisinin ‘güvenilir kök sertifika listeleri’ne girme başarısı gösteren tek Türk kuruluşu olduğunu kaydeden TürkTrust, internet dünyasınında yankı uyandıran olayla ilgili şunları kaydetti: "ETSI TS 102 042 ESHS Yönetim Sistemi Standardı belgelendirme süreci içinde, Mayıs-Kasım 2011 tarihleri arasında sistemlerimizde iyileştirme ve geliştirme çalışmaları yürütülmüştür. Bu çalışmalar sırasında yazılım güncelleme ve veri taşıma kusuruna bağlı olarak aynı üretim paketinde yer alan 2 adet SSL sertifikasının Ağustos 2011’de hatalı olarak üretildiği Aralık 2012 tarihinde tarafımıza İnternet tarayıcıları tarafından yapılan bildirimle anlaşılmıştır. Bildirimin ardından geçerli olan sertifika derhal iptal edilmiş, tüm sistemlerimiz ayrıntılı biçimde incelenerek sorunun kaynağı kesin olarak saptanmıştır. Yapılan incelemeler sonucunda, söz konusu hatalı üretimin sadece bir kez gerçekleştiği, sistemlerimize herhangi bir müdahalenin söz konusu olmadığı, hatalı üretim sonucu ortaya çıkan bir zarar bulunmadığı tespit edilmiştir."
Her iki güvenlik sertifikasını iptal ettik
TürkTrust İş Geliştirme Müdürü Atilla Biler, açıklamada, 2011 yılının Ağustos ayında kendi sistemlerinin yazılım güncelleme çalışmaları sırasında, ‘https’ uzantılı internet sitelerinin güvenilirliğini denetleyen SSL sertifikalarının üretiminde sadece 2 adet sertifikanın hatalı üretildiğini söyledi. Söz konusu bu sertifikalardan birisinin Ankara Büyükşehir Belediyesine bağlı EGO Genel Müdürülüğü, diğerinin ise KKTC Merkez Bankası için üretildiğini ifade eden Biler, KKTC Merkez Bankası için üretilen sertifikanın daha ilk kullanımda hatalı olduğunun tespit edildiğini ve derhal iptal edildiğini kaydederek, EGO’ya verilen sertifikanın ise 1 yıldan bu yana web mail sistemlerinde kullanıldığını vurguladı.Biler, Google, Microsof ve Mozilla’nın askıya aldığı sertifikaların sadece EGO ve KKTC Merkez Bankası’ndaki sertifikalar olduğuna dikkati çekerek, diğer müşterilerini etkileyecek herhangi bir durumun söz konusu olmadığının altını çizdi.