From: info@teknobilge.com
Date: Tue 20 Jan 2004 - 10:13:51 EST
Merhabalar,
Hukuki degil ama, teknik ozetlemek istiyorum durumu.
Birincisi, imza ayrı şeydir, sertifika ayrı şeydir. Imza, bir belgeyi
sizin gerçekten onayladiginizi, karsi tarafin eline gecene kadar
degismedigini belirten bir isarettir. Imzayi siz olusturursunuz. Ancak,
cesitli amaclarla, "benim imzam budur" diye bildirirsiniz. Ornek: Firma
kurmak icin Noter'e kayitli imza bildirimi.
Sertifika, bir otoritenin, size verdigi bir belgedir, bir cesit kimlik
belgesi gibi, ya da ehliyet gibi. "Bu adam gercekten bu kimlige, bu
adrese sahip adamdir. Bu isi yapmaya yetkilidir" gibi bir belge.
Dolayisi ile, sertifikanin sadece bir yerlere kaydi yeterli olmaz, bir
yetkili kurumun kontrolunde veriliyor olmasi onemlidir.
Simdi asil sorunuza gelelim. SSL sertifikasini kendi olusturan web
sitesi sahipleri, sahte sertifika olusturmaktan hapis+para cezası
alabilir mi?
Benim bilgimden biraz daha hukuki bir konu bu ama, benim yanıtım hayır.
Neden? Çünkü kendi sertifikasini kendisi olusturan bir web sitesi
sahibi, sahte sertifika olusturmamistir. Yani, hem sertifikanin
sahibinin kendisi oldugu, hem de sertifikayi veren otoritenin kendisi
oldugu, sertifikanin uzerinde acikca gozukur. Bir ziyaretci web
sitesinde bu sertifika ile sifrelenmis bir sayfaya geldigi zaman, "Bu
sayfanin sertifikasini veren kurum bilinen ve guvenilir bir kurum olarak
ayarlarinizda belirtilmis bir kurum degil. Devam etmek istiyor musunuz?"
Gibisinden bir uyari alir. Guvenip devam etmek, ya da guvenmeyip devam
etmemek kendi kararidir. Yani siz, kendi sirketiniz calisanlari (ya da
derneginizin uyeleri, musterileriniz, vs) icin ozel kimlik verir gibi,
kendi kendinize bir belge vermis olursunuz. Bu belgeyi istediginiz gibi
verebilirsiniz, ama ornegin, ehliyet ya da nufus cuzdani yerine
kullanamazsiniz.
Bununla birlikte, SSL sertifikasini, Kredi Karti bilgileri gibi kritik
onemde bilgiler icin kullanacaksaniz, sertifikanizi guvenilir bir yerden
almaniz faydali olur, boylece musterileriniz guvenmeyip para odememezlik
etmez, rahat rahat kredi karti bilgilerini verirler. (Bu bilinc bizde
zayif, SSL sertifikaniza ragmen online alisverise Turkiye'de ciddi bir
direnc var.) Siz de daha cok para kazanirsiniz. SSL sertifikalarinin
49$'dan basladigi dusunulurse, her ticari web sitesi icin sart oldugunu
soyleyebilirim.
Ancak siz, sertifikalar uzerinde oynar, mesela kendi yaptiginiz
sertifikayi baska bir otorite vermis gibi gostermeye falan calisirsaniz,
iste o suctur. Hos, 128-bit sifrelemeyi cozup de sahte sertifika
yapabilecek babayigiti de ben ne gordum, ne duydum, o da ayri bir konu.
64 bit sifrelemeyi cozmek icin, yuzlerce bilgisayari 6 ay boyunca
calistirmislardi diye bir sey hatirliyorum. Guvenlikci arkadaslar daha
iyi bilir, duzelten olabilir. Ancak 64 bit SSL ile 128 bit SSL
arasindaki hesap zamani (islemci gucu) farkinin, iki kat degil, ustel
fonksiyon nedeniyle karesi kadar oldugunu soyleyebilirim...
Umarim faydali olmustur.
Ozer Tayiz.
onuryalazi@mersin.edu.tr wrote:
>Merhaba, kısa süre önce meclisten
>
>"..na göre tamamen veya kısmen sahte elektronik sertifika oluşturanlar veya geçerli olarak oluşturulan elektronik sertifikaları taklit ve tahrif edenler ile yetkisi olmadan elektronik sertifika oluşturanlar veya bu elektronik sertifikaları bilerek kullananlar, fiilleri başka bir suç olurtursa bile ayrıca, iki yıldan beş yıla kadar hapis ve bir milyar liradan aşağı olmamak üzere ağır para cezası ile cezalandırılacaklar."
>
>Gibi ibareler görülmekte. Bu anlamda dijital imzaların sadece yetkili kişilerce oluşturulabileceği ve kendi başına dijital imza oluşturanların cezalandırılacağı anlaşılıyor.
>Dijital imzanın anlamı olarak verilen tanımlardan da SSL sertifikalarının dijital imza anlamına gelebileceğini anlıyorum. Tabii ben bu konuda yeterli Hukuk bilgisine sahip değilim.
>Ama anladığım kadarı ile SSL sertifikalarını kendileri oluşturup saklayan İnternet sitesi sahiplerinin başı belaya girebilir gibime geliyor? Bu konuda yeterli hukuki, teknik bilgisi olanlar fikirlerini sunabilirler mi?
>--
>Onur Yalazi
>
>linux-sohbet listesinden cikmak ve tum listeci islemleri icin
>http://liste.linux.org.tr/ adresini kullanabilirisniz.
>Bu listeden cikmak icin <a href="mailto:linux-sohbet-request@liste.linux.org.tr?Subject=unsubscribe">tiklayiniz</a>
>
linux-sohbet listesinden cikmak ve tum listeci islemleri icin
http://liste.linux.org.tr/ adresini kullanabilirisniz.
Bu listeden cikmak icin <a href="mailto:linux-sohbet-request@liste.linux.org.tr?Subject=unsubscribe">tiklayiniz</a>