7 Mart 2014 14:13 tarihinde Cagri Emer <ca...@cagriemer.net> yazdı: > Cogu isletim sisteminin guncel surumleri EBG, E-Guven, Tubitak UEKAE, > Turktrust gibi root CA'lerin sertifikalari ile geliyor. Tabii bu CA'ler > sahte sertifika sagliyorlar demiyorum ama saglamaya zorlanabilirler. > Boyle bir durumda Youtube'a ait sertifika GeoCert'ten gelmemis > demeyecektir hicbir istemci.
Şuraya bir parantez açayım, örneğin TürkTrust'ın baskı sonucu youtube.com'u imzalayıp ISP'lerin bu sertifika ile MITM yapmaları durumunda youtube için GeoTrust'ı değil TürkTrust'ı CA olarak görmem gerekli. Özellikle algı konusundaki tüm endişeleri paylaşıyorum. Bu konuda diyecek pek birşey kalmamış. Olayın pek çok boyutu var ve yasaları, çıkaranları ve amaçlarını kesinlikle doğru analiz etmemiz gerekiyor. Önceki e-posta'da "politikaya kaymadan" derken kastım, politik yönünü konuşmamak değil sadece bu aşamaya henüz geçilmemişken teknik detayları öğrnemek istememdir, ifade edememişim sanırım. 7 Mart 2014 14:13 tarihinde Cagri Emer <ca...@cagriemer.net> yazdı: > On 2014-03-07 22:19 +1100, Mehmet Gürevin wrote: > > Ha, ulan vatandaşlar, artık herşeyi ben imzalıyorum alın şu sertifikayı > > güvenlir listenize ekleyin derlerse şaşırır mıyım? hayır. > > Cogu isletim sisteminin guncel surumleri EBG, E-Guven, Tubitak UEKAE, > Turktrust gibi root CA'lerin sertifikalari ile geliyor. Tabii bu CA'ler > sahte sertifika sagliyorlar demiyorum ama saglamaya zorlanabilirler. > Boyle bir durumda Youtube'a ait sertifika GeoCert'ten gelmemis > demeyecektir hicbir istemci. -Bu cumleme serhimi duseyim- Tam tarihini > net hatirlayamamakla birlikte CNNIC (Cin'den bir CA, ornegin su postayi > yazdigim bilgisayarda mevcut) gectigimiz sene GitHub icin benzer bir > seye kalkismisti yanlis animsamiyorsam. Bunun ufak bir aramayla > erisilebiliyor olmasi lazim. > > Serh koyuyorum demistim, oraya doneyim. Isin oteki tarafindan > baktigimizda Google gibi buyuk sirketlerin sertifika izlerini artik > urunlerine (ornegin Google Chrome) bagladiklarini ve uyusmayan > anahtarlar icin henuz kullaniciyi uyarmasalar bile kendi sistemlerinde > kayitlar actiklarini goruyoruz. Henuz yaygin olmasa da TLSA > kayitlarinin, DNSSEC'in de yardimiyla, bu soruna care olacagini > dusunuyorum. Bu is icin internetle isi olan istemcilerin de tabii > DNS'ten authenticated data istemeye baslamasi lazim artik varsayilan > olarak. > > Yayginlik kazanmasi gereken bir diger uygulama da bana kalirsa > sifrelenmis DNS sorgu ve cevaplari.(Bir uygulamasi DNSCrypt) ISP gibi > butun trafigimizi uzerinden gecirdigimiz hipotetik bir saldirgana duz > metin olarak zaten nereye gitmeye calistigimizi teslim ediyoruz daha > hicbir islem yapmadan. Tabii buna da kontra-atak olarak ISP'lerin tum IP > uzayinda bulunan VPN saglayici, DNS sunucu, Tor cikis dugumu vs. gibi > noktalari enumere edip dogrudan IP'sini yasaklamasi karsi arguman olarak > sunulabilir. > > Kisaca her teknik sorunun teknik bir cozumu, her cozumun de bir karsi > atagi ne yazik ki var. Yapilmasi gereken sey, benim fikrim, onun > etrafindan soyle dolandim simdi karsima bu geldi onun da etrafindan > soyle dolanayim demek yerine, devletin ilgili kurumlarina, kapi > komsumuza, yan masada calisan mesai arkadasimiza demokrasinin gercekten > ne oldugunu kavratmaya calismak. Ifade ozgurlugu, bilgiye erisme > ozgurlugu gibi temel kavramlar bireyler tarafindan sindirildiginde, ben > artik Youtube'da su icerigi engellemek istiyorum, aman su blog sayfasi > acilmasin dememeyi oldukca olagan karsilayip yadirgamayacak kimse. > > Son olarak, bir gizlilik yonu bir de guvenlik yonu var bu islerin. Bu > postada daha cok gizlilik tarafindan ele aldim konulari. > > Cok uzattim, affola. > > Cagri > _______________________________________________ > Linux-sohbet mailing list > Linux-sohbet@liste.linux.org.tr > https://liste.linux.org.tr/mailman/listinfo/linux-sohbet > Liste kurallari: http://liste.linux.org.tr/kurallar.php >
_______________________________________________ Linux-sohbet mailing list Linux-sohbet@liste.linux.org.tr https://liste.linux.org.tr/mailman/listinfo/linux-sohbet Liste kurallari: http://liste.linux.org.tr/kurallar.php
