Microsoft kısa süre önce, zayıf güvenlik standartlarını izleyerek iki Çinli şirketten güvenlik sertifikalarını almaya karar verdi. Sonuç olarak, Internet Explorer ve Edge artık WoSign ve StartCom güvenlik sertifikalarını kabul etmemektedir.

Hızlı bir hatırlatma olarak, tarayıcılar web sitelerine güvenli bağlantıların kimliğini doğrulamak için güvenlik sertifikaları kullanır. Microsoft'un kararı, iki şirketin kabul edilemez güvenlik uygulamaları kullandığını açıklamasının ardından geldi. Daha spesifik olarak, her iki şirket de ücretsiz sertifikalar sundu ve kullanıcı tabanını arttırmak için dürüst olmayan uygulamalara başvurdu.

İşte konuyla ilgili Microsoft'un resmi açıklaması:

Microsoft, Çin Sertifika Yetkilileri'nin (CA) WoSign ve StartCom'un Güvenilen Kök Programımızın gerektirdiği standartları sağlayamadığı sonucuna varmıştır. Gözlemlenen kabul edilemez güvenlik uygulamaları arasında, geri kalma SHA-1 sertifikaları, sertifikaların yanlış verilmesi, yanlışlıkla sertifika iptal edilmesi, yinelenen sertifika seri numaraları ve birden fazla CAB Forum Temel Gereksinimleri (BR) ihlali bulunmaktadır.

Microsoft, küresel Sertifika Yetkilisi topluluğuna değer verir ve bu kararları yalnızca kullanıcılarımızın güvenliği için neyin iyi olduğuna dikkat ederek değerlendirir.

Microsoft bu kararı alan tek şirket değil. Google ve Apple da dahil olmak üzere diğer teknoloji devleri, WoSign ve StartCom sertifikalarına olan güvenini zaten iptal etti. Büyük olasılıkla, diğer şirketler yakında takip edecek.

Microsoft, Eylül ayında sertifikaları kaldırmaya başladı

Şirket bu sertifikaların doğal amortismanını önümüzdeki ay başlatacak. Başka bir deyişle, varolan tüm sertifikalar kendiliğinden sona erene kadar çalışmaya devam eder. Eylül 2017'den sonra, Windows 10 iki şirket tarafından verilen hiçbir yeni sertifikaya güvenmeyecektir.

Üretimde bir WoSign ve StartCom sertifikanız varsa, en iyi çözüm, güvenilir ve güvenilir bir Sertifika Yetkilisi tarafından verilen başka bir sertifikayla değiştirmektir.