[Pardus-kullanicilari] Güncelleme sonrası güvenlik, nedeniyle açılmayan site.

Özgen Gülmen Ozgen.gulmen at bafayag.com
6 Şub 2010 Cmt 16:44:33 EET 

Merhaba,

Bir deneyimi paylaşmak istedim.

Pardus 2008.1 (2.6.25.20-114) kullanıyorum. Son güncellemeden sonra (05.02.2010) Openssl güncellendi ve Halkbank internet sitesine giremedim. Aynı uyarı mesajlarını aldım. Firefox versiyonu 3.0.16 idi. Benzer şekilde Virtualbox üzerinde kurulu Pardus 2009'daki Firefox'tan da (V. 3.5.7) diğer arkadaşların verdiği hata ve uyarı mesajlarını aldım. Halkbank internet sitesine bağlanamadım.

Buna karşılık, Mozilla sitesinden Linux için son sürüm Firefox 3.6 'yı indirdim ve home dizinim içerisinde açtım. /home/kullanıcıadı/firefox şeklinde bir dizin oluşuyor. firefox dizini içerisindeki firefox programını 

./firefox   şeklinde çalıştırınca başka herhangi bir ayar yapmaksızın Firefox 3.6 çalıştı. Ve benim önceki (Firefox 3.0.16) ayarlarımın tümü 3.6 için de geçerli oldu. Sertifika dahil. Bu şekilde Halkbank internet sitesine bağlanabildim ve kullandım. 

Bu durumda sorun eğer Openssl ile ilgili ise, Firefox 3.6  ya bu openssl modülünü kullanmıyor veya bu sorunu aşacak şekilde kullanıyor. Konuyla ilgilenen arkadaşların dikkatine sunuyorum.

Öte yandan benim açımdan sorun pratikte çözülmüş durumda.

Herkese kolaylıklar dilerim.

Özgen Gülmen


* * * 
Date: Fri, 5 Feb 2010 01:20:27 +0200
From: Eren Türkay  <eren at pardus.org.tr>
To: pardus-kullanicilari at pardus.org.tr
Subject: Re: [Pardus-kullanicilari] Güncelleme sonrası güvenlik
	nedeniyle açılmayan  site.
Message-ID: <201002050120.27924.eren at pardus.org.tr>
Content-Type: Text/Plain;  charset="utf-8"

On Thursday 04 February 2010 08:32:44 pm Ozgur GOKALP wrote:

> > Merhaba. Daha önce sorunsuzca açılan https://sube.halkbank.com.tr/ sitesi
> > son yapılan ve içerisinde openssl 0.9.8 paketi de bulunan güncellemeden
> > sonra açılmaz oldu
> > 
>   

Sorun Firefox tarafından kullanılan nss paketinden kaynaklanıyor. TLS 
protokolündeki bir tasarım hatası nedeni ile "renegotiation" denilen ve TLS 
oturumu açıldıktan sonra sunucu ve istemci arasında "handshake" isteğinin 
gerçekleşmesini sağlayan özellik tamamen kapatılmış durumda. Açık 
protokolden kaynaklandığı için başka bir çözüm mevcut değil. Şu anda TLS 
protokolüne bir ek yapılması ile beraber bu durumun çözülmesi planlanmakta. 
Ancak bunun için SSL kullanan tüm sunucuların, ve bu sunuculara bağlanan 
istemcilerin güncellenmesi gerekecek ki bu da kısa vadede mümkün değil.

Halkbank "renegotiation" özelliğini kullandığı için böyle bir hata meydana 
geliyor. Şu anda kontrol ettiğim bankalar arasında buna ihtiyaç duyan tek 
banka Halk Bankası oldu. Aynı zamanda gördüğüm kadarı ile her kullanıcı için 
ayrı bir SSL sertifikası oluşturup onu kullanıyor. SSL'in yeterince güvenli 
olduğu ortada iken, her kullanıcı için ayrı bir SSL sertifikası oluşturmanın 
yararını da çözebilmiş değilim  :) 

Konu hakkında yapabileceklerimizi ilerleyen günlerde konuşacağız.

Bildiriminiz için teşekkürler.

--
Eren

-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: <http://liste.pardus.org.tr/pardus-kullanicilari/attachments/20100206/46b34b35/attachment.htm>

Pardus-kullanicilari mesaj listesiyle ilgili daha fazla bilgi