Protect: Şüpheli Güvenlik Sertifikalarına Karşı Koruma

Mobil Yandex Browser, site sertifikalarını kontrol eder. Site, sertifika sorunları nedeniyle verilerinizi güvenli bir şekilde şifreleyemiyorsa tarayıcı sizi bu konuda uyarır.

  1. Site sertifikası niçin gereklidir?
  2. Güvenilmeyen sertifikanın tehlikesi nedir?
  3. Güvenilmeyen sertifikalara sahip sitelerin engellenmesi
  4. Engelleme nedenleri

Site sertifikası niçin gereklidir?

Kişisel veya ödeme bilgilerinizi bir siteye gönderdiğinizde bu bilgiler korunmalıdır. İnternette siteler güvenli bağlantı için HTTPS protokolünü kullanır. Bu protokol, verilerin açık bir anahtarla şifrelenip özel bir anahtarla deşifre edilmesini sağlayan asimetrik bir şifreleme algoritması içerir. Her bir oturum için tarayıcı, yeniden özel anahtar üretir ve hırsızlığı engelleyecek önlemlerle birlikte siteye gönderir.

Bununla birlikte, kimlik avı sitesine girdiğinizde bu site, özel anahtarı ele geçirerek verilerinizi deşifre edebilir. Siteler kimlik avına karşı, özel sertifikalandırma merkezleri tarafından verilen dijital sertifikaları kullanır. Sertifika, şifrelemede kullanılan anahtarların gerçekten site sahibine ait olduğunu kanıtlar.

Güvenilmeyen sertifikanın tehlikesi nedir?

Verileriniz sadece kimlik avı sitelerinde değil, orijinal sitelerde de düzgün şekilde korunmayabilir (örneğin, site sertifikasının süresi dolmuş olabilir). Sonuç olarak dolandırıcılar şunları yapabilir:

  • Kişisel verilerinizi ele geçirebilir, değiştirebilir ya da yazışmalarınızı okuyabilirler.
  • Ödeme bilgilerinizi (kart numarası, kart sahibinin adı, son kullanma tarihi ve CVC) ele geçirebilir ve bunları hesabınızdan para çekmek için kullanabilirler.

Güvenilmeyen sertifikalara sahip sitelerin engellenmesi

Site, sertifika sorunları nedeniyle güvenli bir şifreleme sağlayamıyorsa Akıllı Satır'ın sol tarafında simgesi ve aşağıdaki uyarı görülür:

“Güvenli bağlantı kurulamıyor. Dolandırıcılar verilerinizi (şifre, mesaj veya banka kartı bilgileri vb.) ele geçirmeye çalışabilir”.

Siteye girmekten vazgeçebilir veya sertifikasını güvenli sertifikalar listesine ekleyebilirsiniz. Bunu yapmak için Ayrıntılı bilgi ve ardından Bu siteyi istisna say butonlarına tıklayın. Eklenen sertifika bu listede 30 gün süreyle kalır. Sonrasında söz konusu sertifikayı tekrar listeye ekleyerek yeniden bir istisna olarak doğrulatmanız gerekir.

Uyarı. Lütfen dikkat! Bu siteyi istisna say butonuna sadece sertifikanın güvenli olduğundan tamamen emin olduğunuzda tıklayın. Aksi takdirde kişisel verilerinizin güvenliği tehlikede olabilir.

Engelleme nedenleri

Yandex Browser, sertifikalarla ilgili aşağıdaki sorunları olan siteleri engeller:

Sertifika sahibi bilinmiyor

Sertifika dolandırıcılar ya da özel bir program tarafından kurulmuş olabilir. Antivirüsler, reklam engelleyiciler ve benzeri uygulamalar site sertifikalarını kendi sertifikaları ile değiştirebilir. Sertifika uygulama tarafından yüklenmiş ise bunu tespit etmeniz ve içindeki HTTPS denetimini kapatmanız gerekir.

Verilerinizi böyle bir sertifikaya emanet etmeye de karar verebilirsiniz. Ancak, şu iki potansiyel tehlikeyi mutlaka dikkate alın:

  • Verileriniz belirsiz uygulama geliştiricilerinin eline geçebilir.
  • Sertifika, uygulama taklidini yapan kötü amaçlı yazılım tarafından yüklenmiş olabilir. Günümüzde tarayıcılar, özel uygulamalar tarafından yüklenmiş sertifikaları nasıl doğrulayacaklarını bilmemektedir.
Site adresi hatalı
Sitenin güvenlik sertifikası başka bir siteye aittir. Sunucu yanlış yapılandırılmış olabilir ancak, bir kimlik avı sitesini ziyaret ediyor da olabilirsiniz. Bu durumda verileriniz dolandırıcıların eline geçebilir.
Güvenlik sertifikası kendinden imzalıdır

Sitenin güvenlik sertifikası güvenilir bir sertifika yetkilisi tarafından değil sitenin kendisi tarafından çıkarılmıştır. Daha fazla bilgi için Self-Signed Certificate makalesini (İngilizce) okuyun. Verileriniz kötü amaçlı bir yazılım veya internet dolandırıcıları tarafından çalınabilir.

Kök sertifikası güvenilir değil
Sertifikayı imzalayan sertifika yetkilisi güvenilir değil. Verileriniz kötü amaçlı bir yazılım veya internet dolandırıcıları tarafından çalınabilir. Kök sertifikasıyla ilgili daha fazla bilgi için Root Certificate makalesini (İngilizce) okuyun.
Güvenlik sertifikasının geçerlilik süresi doldu
Aktarılan veriler şifrelenmez ve dolandırıcılar tarafından ele geçirilebilir.
Sertifika iptal edildi
Site sertifikası itibar açısından zarar görmüş ve iptal edilmiştir. Aktarılan veriler şifrelenmez ve dolandırıcılar tarafından ele geçirilebilir.
Şifreleme algoritması çok eski
Sunucunun kullandığı şifreleme algoritması çok eski ve güvensizdir. Bu durumda internet dolandırıcıları kişisel verilerinizi çalabilirler.
Kullanılan şifreler desteklenmiyor
Site, tarayıcı tarafından desteklenmeyen şifreler kullandığından HTTPS bağlantısı kurulamaz. Aktarılan veriler şifrelenmez ve dolandırıcılar tarafından ele geçirilebilir.
Sertifika anahtarı sabitlenen anahtarla aynı değil

Kök sertifikası anahtarı sitede sabitlenen anahtarla aynı değil. Dolandırıcılar kök sertifikasını değiştirmeye çalışabilir. Bu durumda verilerinizi ele geçirebilirler. Bir anahtarı sabitleme hakkında daha fazla bilgi için HTTP Public Key Pinning makalesine (İngilizce) başvurun.

HSTS bağlantısı sırasında şifreleme çalıştırılamadı
Tarayıcınız şifrelemeyi çalıştıramayınca bağlantınızı kesti. Siteyi barındıran sunucu HSTS protokolü kullandığı için genellikle şifreli çalışır. Şifrelemenin devre dışı olması ise sunucunun sanal saldırıya maruz kaldığının bir belirtisi olabilir. Bu durumda saldırganlar veya kötü amaçlı yazılımlar verilerinizi ele geçirebilir.