Protect: Şüpheli güvenlik sertifikalarına karşı koruma

Phishing'e karşı koruma amacıyla çoğu site, güvenilir sertifika yetkililerinin sağladığı güvenlik sertifikalarını kullanır. Güvenlik sertifikası, kullanıcının HTTPS protokolüne göre bağlandığında siteye gönderdiği verileri şifreleyen açık bir anahtar içerir. Şifreleme işleminde kullanılan açık anahtarın ilgili site sahibine gerçekten ait olup olmadığı özel doğrulama yetkilisi tarafından doğrulanmalıdır.

Protect koruma teknolojisinin uygulandığı Yandex Browser girilecek sitelerin güvenlik sertifikalarını kontrol eder. Sertifikanın, ilgili site sahibine gerçekten ait olduğu konusunda şüphe olduğunda tarayıcı kullanıcısına özel uyarı mesajı gösterir.

Sertifikayı veren yetkili tanınamıyorsa

Böyle durumlarda sertifika ya ağ yöneticisi ya da web saldırganları tarafından sağlanmış olabilir ve size şu şekildeki uyarı mesajı görüntülenir:

Siteye girmekten vazgeçebilir veya sertifikasını güvenli sertifikalar listesine ekleyebilirsiniz. Bunu yapmak için Ayrıntılı bilgi ve ardından Bu siteyi istisna say butonlarına tıklayın. Eklenen sertifika bu listede 30 gün süreyle kalır. Sonrasında söz konusu sertifikayı tekrar listeye ekleyerek yeniden bir istisna olarak doğrulatmanız gerekir.

Uyarı. Lütfen dikkat! Bu siteyi istisna say butonuna sadece sertifikanın güvenli olduğundan tamamen emin olduğunuzda tıklayın. Aksi takdirde kişisel verilerinizin güvenliği tehlikede olabilir.

Sertifikasının güvenilirliğinden emin olmadığınız siteyi ziyaret etmeniz gerektiğinde aşağıda sıralanan şu önlemleri alın:

  • Ev bilgisayarı için. Antivirüs uygulamanızı güncelleyip bilgisayarınızın zararlı yazılım kontrolünü yapın. Antivirüsünüz sisteminize saldırganlar tarafından yüklenmiş sertifikayı algılayıp temizlerse ilgili tarayıcı bildirimini bir daha görmezsiniz. Sertifika antivirüs tarafından temizlenmezse bunu Windows araçlarını kullanarak kendiniz de silebilirsiniz. Dikkat: Söz konusu sertifika kötü amaçlı bir yazılım tarafından değil yararlı bir program tarafından kurulmuşsa silinmesi sisteminizin çalışmasını olumsuz etkileyebilir.
  • İş bilgisayarı için. Şüpheli sertifikanın silinmesi için sistem yöneticinize başvurun. Bu sertifikayı kendisi kurmadıysa onu silecektir. Öte yandan söz konusu sertifika sistem yöneticiniz tarafından güvenlik amacıyla kurulmuşsa Bu sertifikaya güven butonuna tıklayın. Fakat bu işlemden sonra yöneticinizin elektronik ödemelerinize ve kişisel verilerinize erişebileceğini unutmayın.

Sertifika özel amaçlı yazılım tarafından kurulduysa

Antivirüsler, reklam engelleyiciler, ağdaki gelişmeleri takip eden özel amaçlı uygulamalar gibi programlar site sertifikalarını kendi geliştirdikleri sertifikalarla değiştirebilir. Bu programlar veri trafiğini deşifre etmek için özel bir kök sertifikası oluşturup bunu güvenli bir sertifika olarak işletim sistemine yükler.

Böyle bir programın kurduğu sertifika güvenilir bir sertifika yetkilisine ait olmadığından güvenli sayılamaz. Bu durumda karşılaşılabilecek olası sorunlar:

  • Bu özel programların geliştiricileri olan tanımadığınız kişiler kişisel verilerinize erişebilir.
  • Sertifika, kendini özel amaçlı program gibi gösteren köötü amaçlı bir program tarafından kurulmuş olabilir. An itibarıyla internet tarayıcıları özel programların geliştirip kurduğu güvenlik sertifikalarının gerçekliğini kontrol edemiyor.

Yandex Browser bu tür sorunlar hakkında sizi uyarır:

Siteyi ziyaret etmek için:

  1. Sertifikayı değiştiren programı belirleyin. Bunu yapmak için uyarı sayfasındaki bağlantıya tıklayın.
  2. Sertifikayı hazırlayanın kişisel verilerinize erişmesine razı olup olmadığınıza karar verin:
    • Onaylıyorsanız Bu sertifikaya güven butonuna tıklayın.
    • Onaylamıyorsanız program menüsünde HTTPS bağlantı kontrolü işlevini devre dışı bırakın. Aşağıdaki programlar için talimatları izleyebilirsiniz:
      • Kaspersky Antivirus,
      • ESET NOD32,
      • AdGuard (NOT: AdGuard uygulamasının yanı sıra piyasada ayrıca adı aynı olan fakat kendi sertifikalarını oluşturmayan bir eklenti de mevcuttur; bu eklentinin kullanılması durumunda kontrol işlemini devre dışı bırakmak gerekmez).
      Uyarı. HTTPS bağlantı kontrolünü kapatmanız korumasız kaldığınız anlamına gelmez: Yandex Browser yüklenecek dosyaların güvenlik kontrolünü kendi yapar, kötü amaçlı web sayfalarını ve banner'ları engeller ve ödemelerin yapıldığı banka ve ödeme sistemi sayfaları için özel ek korumayı uygular.

      HTTPS kontrolü devre dışıyken tarayıcınızdan şüpheli güvenlik sertifikası uyarılarını hala alıyor fakat sertifikayı kuran programa pek ihtiyaç dyumuyorsanız o programı geçici olarak kapatmayı deneyin.

Güvenlik Sertifikalarıyla İlgili Diğer Sorunlar

Sertifika sorunları nedeniyle site güvenli bağlantı sağlayamıyorsa Yandex Browser kullanıcıya durumla ilgili uyarı mesajı göndererek Akıllı Satır'ın sağında şeklinde bir uyarı simgesi görüntüler. Bu tür sitelerde kişisel bilgilerinizi girmemenizi ve elektronik ödemeler yapmamanızı önemle belirtiriz.

Sorun Tarayıcının görüntülediği bildirim Sorun açıklaması Durumun tehlikesi nedir?

Güvenlik sertifikasının geçerlilik süresi doldu

Bu sunucu example.com olduğunu kanıtlayamadı. Güvenlik sertifikası <...> gün önce sona erdi. Bu durum, yanlış yapılandırmadan veya bağlantıya müdahale eden bir dolandırıcıdan kaynaklanıyor olabilir. Bilgisayarınızın saati şu anda <şimdiki zaman> değerine ayarlı. Saat doğru mu? Değilse sistem saatinizi düzeltip bu sayfayı yenilemeniz gerekir.

Güvenlik sertifikasının geçerlilik süresi dolmuştur.

Şifrelenmeden aktarılan veriler internet dolandırıcıları tarafından çalınabilir.

Site adresi hatalı

Bu sunucu example.com olduğunu kanıtlayamadı. Güvenlik sertifikası example1.com alan adından geliyor. Bu durum, yanlış yapılandırmadan veya bağlantıya müdahale eden bir dolandırıcıdan kaynaklanıyor olabilir.

Tarayıcının bağlandığı sitenin gerçekliğini kontrol etmek mümkün değil.

Bağlandığınız site kimlik avı (phishing) ile ilgili ise verileriniz dolandırıcılar tarafından izniniz olmadan ele geçirilebilir.

Güvenlik sertifikası kendinden imzalıdır

Bu sunucu example.com olduğunu kanıtlayamadı. Bilgisayarınızın işletim sistemi, sunucunun güvenlik sertifikasına güvenmiyor. Bu durum, yanlış yapılandırmadan veya bağlantıya müdahale eden bir dolandırıcıdan kaynaklanıyor olabilir.

Sitenin güvenlik sertifikası güvenilir bir sertifika yetkilisi tarafından değil sitenin kendisi tarafından çıkarılmıştır. Daha fazla bilgi için Self-Signed Certificate makalesini okuyun.

Verileriniz kötü amaçlı bir yazılım veya internet dolandırıcıları tarafından çalınabilir.

Kök sertifikası güvenilir değil

Bu sunucu example.com olduğunu kanıtlayamadı. Bilgisayarınızın işletim sistemi, sunucunun güvenlik sertifikasına güvenmiyor. Bu durum, yanlış yapılandırmadan veya bağlantıya müdahale eden bir dolandırıcıdan kaynaklanıyor olabilir.

Sertifikayı imzalayan sertifika yetkilisi güvenilir değil.

Verileriniz kötü amaçlı bir yazılım veya internet dolandırıcıları tarafından çalınabilir.

Sertifika anahtarı sabitlenen anahtarla aynı değil

example.com adlı site normalde bilgilerinizi korumak için şifreleme kullanır. Ancak, tarayıcınız bu siteden şüpheli kimlik bilgileri almış bulunuyor. Başka bir web sitesi example.com gibi davranmaya çalışıyor ya da WiFi bağlantınız kesilmiş olabilir. Yandex Browser'ınız herhangi bir veri alışverişi yapılmadan önce bağlantıyı durdurduğu için bilgileriniz hâlâ güvende. example.com sitesi sertifika sabitleme yöntemini kullandığı için web sitesini şu anda ziyaret edemezsiniz. Ağ hataları ve saldırılar genellikle geçici olduğundan, bu sayfa muhtemelen daha sonra çalışacaktır.

Kök sertifikası anahtarı sitede sabitlenen anahtarla aynı değil. Bu durum hatalı sunucu ayarlarından veya internet dolandırıcılarının kök sertifikasını başka bir sertifikayla değiştirme teşebbüslerinden kaynaklanabilir.

Kök sertifikası hakkında daha fazla bilgi edinmek için Root certificate makalesini, sabitlenen anahtarlar hakkında bilgi almak için HTTP Public Key Pinning makalesini okuyabilirsiniz.

Site kötü amaçlı yazılım kullanılarak sahtesiyle değiştirilmiş olabilir. Bu durumda internet dolandırıcıları kişisel verilerinizi çalabilirler.

HSTS bağlantısı sırasında şifreleme çalıştırılamadı

example.com adlı site normalde bilgilerinizi korumak için şifreleme kullanır. Ancak, tarayıcınız bu siteden şüpheli kimlik bilgileri almış bulunuyor. Başka bir web sitesi example.com gibi davranmaya çalışıyor ya da WiFi bağlantınız kesilmiş olabilir. Yandex Browser'ınız herhangi bir veri alışverişi yapılmadan önce bağlantıyı durdurduğu için bilgileriniz hâlâ güvende. example.com web sitesi HSTS kullandığı için bu siteyi şu anda ziyaret edemezsiniz. Ağ hataları ve saldırılar genellikle geçici olduğundan, bu sayfa muhtemelen daha sonra çalışacaktır.

Tarayıcınız şifrelemeyi çalıştıramayınca bağlantınızı kesti. Siteyi barındıran sunucu HSTS protokolü kullandığı için genellikle şifreli çalışır. Şifrelemenin devre dışı olması ise sunucunun internet saldırısına maruz kaldığının bir belirtisi olabilir. Bu durumda siteye HTTP üzerinden bağlanmak

tehlikeli olabilir. Verileriniz kötü amaçlı bir yazılım veya internet dolandırıcıları tarafından çalınabilir.

Sertifika iptal edildi

example.com adlı site normalde bilgilerinizi korumak için şifreleme kullanır. Ancak, tarayıcınız bu siteden şüpheli kimlik bilgileri almış bulunuyor. Başka bir web sitesi example.com gibi davranmaya çalışıyor ya da WiFi bağlantınız kesilmiş olabilir. Yandex Browser'ınız herhangi bir veri alışverişi yapılmadan önce bağlantıyı durdurduğu için bilgileriniz hâlâ güvende. Sertifikası iptal olduğundan example.com sitesine geçilemiyor. Ağ hataları ve saldırılar genellikle geçici olduğundan, bu sayfa muhtemelen daha sonra çalışacaktır.

Güvenliği ihlal edilen bu sertifika iptal edildi.

Şifrelenmeden aktarılan veriler internet dolandırıcıları tarafından çalınabilir.

Şifreleme algoritması çok eski

Alan adı example.com olan bir sunucuya erişme girişiminde bulundunuz fakat kullandığı sertifika SHA-1 gibi zayıf bir algoritma kullanılarak imzalanmıştır. Bu durum, sunucunun sağladığı güvenlik bilgilerinin ve hatta sunucunun kendisinin sahte olabileceği ve dolayısıyla internet dolandırıcılarına maruz kalabileceğiniz anlamına gelmektedir.

Sunucunun kullandığı şifreleme algoritması çok eski ve güvensizdir.

Bu durumda internet dolandırıcıları kişisel verilerinizi çalabilir.

Kullanılan şifreler desteklenmiyor

example.com sitesi geçersiz bir yanıt gönderdi.

Sitenin kullandığı şifreler tarayıcı tarafından desteklenmediğinden HTTPS bağlantısı kurulamıyor.

Şifrelenmeden aktarılan veriler internet hırsızları tarafından çalınabilir.