Protect: Şüpheli güvenlik sertifikalarına karşı koruma
Protect kapsamlı koruma teknolojisinin kullanıldığı Yandex Browser sitelerin güvenlik sertifikalarını kontrol eder. Site, sertifika sorunları nedeniyle verilerinizi güvenli bir şekilde şifreleyemiyorsa tarayıcı sizi bu konuda uyarır.
Site sertifikası niçin gereklidir?
Siteye gönderilen kişisel bilgileriniz ve ödeme verileriniz mutlaka korunmalıdır. İnternette siteler güvenli bağlantı için HTTPS protokolünü kullanır. Bu protokol, verilerin açık bir anahtarla şifrelenip özel bir anahtarla deşifre edilmesini sağlayan asimetrik bir şifreleme algoritması içerir. Her bir oturum için tarayıcı, yeniden özel anahtar üretir ve hırsızlığı engelleyecek önlemlerle birlikte siteye gönderir.
Bununla birlikte, phishing (kimlik avı) amaçlı bir siteye girdiğinizde bu site özel anahtarı ele geçirerek verilerinizi deşifre edebilir. Siteler kimlik avına karşı, özel sertifika yetkilileri tarafından verilen dijital sertifikaları kullanır. Sertifika, şifrelemede kullanılan anahtarların gerçekten site sahibine ait olduğunu kanıtlar.
Güvenilmeyen sertifikanın tehlikesi nedir?
Verileriniz sadece phishing (kimlik avı) amaçlı sitelerde değil, orijinal sitelerde de düzgün şekilde korunmayabilir (örneğin, site sertifikasının süresi dolmuş olabilir). Sonuç olarak dolandırıcılar şunları yapabilir:
- Kişisel verilerinizi ele geçirebilir, değiştirebilir ya da yazışmalarınızı okuyabilirler.
- Ödeme bilgilerinizi (örn. kart numarası, kart sahibinin adı, son kullanma tarihi ve CVV2 kodu gibi) ele geçirebilir ve bunları hesabınızdan para çekmek için kullanabilirler.
Güvenilmeyen sertifikalara sahip sitelerin engellenmesi
Sertifika sorunları nedeniyle site güvenli şifreleme sağlayamıyorsa Akıllı satır'da simgesi belirir ve site sayfası yerine güvenli bir bağlantı kuramadığına dair bir uyarı mesajı görüntülenir. Bu uyarıyı gördükten sonra web sitesini ziyaret etmekten vazgeçebilir veya sertifikasını güvenilir sertifikalar listesine ekleyebilirsiniz.
Olası engelleme nedenleri
Yandex Browser sertifikalarla ilgili aşağıdaki sorunları olan siteleri engeller:
Şu bildirimi görürsünüz: «Güvenli bağlantı kurulamıyor. Dolandırıcılar verilerinizi (şifre, mesaj veya banka kartı bilgileri vb.) ele geçirmeye çalışabilir».
Daha fazla bilgi için Sertifikayı veren yetkili tanınamıyorsa bölümünü okuyun.
Şu bildirimi görürsünüz: «example.com sitesine geçiş yapmayı denediniz. Bu sitenin güvenlik sertifikası güvenilir değildir. İşletim sisteminiz bu sertifikayı güvenilir olarak kabul ediyor ancak bu sertifikayı sağlayan sertifikasyon kuruluşu Yandex tarafından bilinmemektedir...»
Daha fazla bilgi için Sertifika bir program tarafından kurulmuşsa bölümünü okuyun.
Şu bildirimi görürsünüz: «Bu sunucu example.com olduğunu kanıtlayamadı. Güvenlik sertifikası example1.com alan adına aittir. Bu durum, yanlış yapılandırmadan veya bağlantıya müdahale eden bir dolandırıcıdan kaynaklanıyor olabilir».
Bu durum, sunucuda depolanan güvenlik sertifikasının, açtığınız site için geçerli olmadığı anlamına gelir. Bir kimlik avı sitesini ziyaret ediyor olabilirsiniz. Bu durumda verileriniz dolandırıcıların eline geçebilir.
Şu bildirimi görürsünüz: «Bu sunucu example.com olduğunu kanıtlayamadı. Bilgisayarınızın işletim sistemi, sunucunun güvenlik sertifikasına güvenmiyor. Bu durum, yanlış yapılandırmadan veya bağlantıya müdahale eden bir dolandırıcıdan kaynaklanıyor olabilir».
Bu durum, sitenin güvenlik sertifikasını kendi kendine verdiği anlamına gelir. Verileriniz kötü amaçlı bir yazılım veya internet dolandırıcıları tarafından çalınabilir. Daha fazla bilgi için bkz .
Şu bildirimi görürsünüz: «Bu sunucu example.com olduğunu kanıtlayamadı. Bilgisayarınızın işletim sistemi, sunucunun güvenlik sertifikasına güvenmiyor. Bu durum, yanlış yapılandırmadan veya bağlantıya müdahale eden bir dolandırıcıdan kaynaklanıyor olabilir».
Dolayısıyla sertifikayı imzalayan sertifika yetkilisi güvenilir değil ve sitenin gerçekliği garanti edilmez. Verileriniz kötü amaçlı bir yazılım veya internet dolandırıcıları tarafından çalınabilir. Kök sertifikasıyla ilgili daha fazla bilgi için şu yazıyı okuyun:
Şu bildirimi görürsünüz: «Bu sunucu example.com olduğunu kanıtlayamadı. Güvenlik sertifikası <...> gün önce sona erdi. Bu durum, yanlış yapılandırmadan veya bağlantıya müdahale eden bir dolandırıcıdan kaynaklanıyor olabilir. Bilgisayarınızın saati şu anda <şimdiki zaman> değerine ayarlı. Saat doğru mu? Değilse sistem saatinizi düzeltip bu sayfayı yenilemeniz gerekir.»
Sitenin güvenlik sertifikasının süresi dolmuşsa aktarılan veriler şifrelenmez ve dolandırıcılar tarafından ele geçirilebilir.
Şu bildirimi görürsünüz: «Genellikle example.com sitesi verilerinizi korumak için şifreleme kullanır. Ancak, tarayıcınız bu siteden şüpheli kimlik bilgileri almış bulunuyor. Başka bir web sitesi example.com gibi davranmaya çalışıyor ya da WiFi bağlantınız kesilmiş olabilir. Yandex Browser'ınız herhangi bir veri alışverişi yapılmadan önce bağlantıyı durdurduğu için bilgileriniz hâlâ güvende. Sertifikası iptal olduğundan example.com sitesine geçilemiyor. Ağ hataları ve saldırılar genellikle geçici olduğundan, bu sayfa muhtemelen daha sonra çalışacaktır.»
Bu durum, site sertifikasının itibar açısından zarar görerek iptal edildiği anlamına gelir. Dolayısıyla aktarılan veriler şifrelenmez ve dolandırıcılar tarafından ele geçirilebilir.
Şu bildirimi görürsünüz: « Alan adı example.com olan bir sunucuya erişme girişiminde bulundunuz fakat kullandığı sertifika SHA-1 gibi zayıf bir algoritma kullanılarak imzalanmıştır. Bu durum, sunucunun sağladığı güvenlik bilgilerinin ve hatta sunucunun kendisinin sahte olabileceği ve dolayısıyla internet dolandırıcılarına maruz kalabileceğiniz anlamına gelmektedir».
Sunucunun kullandığı şifreleme algoritması çok eski ve güvensiz ise internet dolandırıcıları verilerinizi ele geçirebilir. Ayrıca, bir kimlik avı sitesini ziyaret ediyor da olabilirsiniz.
Şu bildirimi görürsünüz: «example.com sitesi geçersiz bir yanıt gönderdi».
Bu durum, sitenin tarayıcı tarafından desteklenmeyen şifreler kullandığından HTTPS bağlantısı kurulamadığı anlamına gelir. Dolayısıyla aktarılan veriler şifrelenmez ve dolandırıcılar tarafından ele geçirilebilir.
Şu bildirimi görürsünüz: «Genellikle example.com sitesi verilerinizi korumak için şifreleme kullanır. Ancak, tarayıcınız bu siteden şüpheli kimlik bilgileri almış bulunuyor. Başka bir web sitesi example.com gibi davranmaya çalışıyor ya da WiFi bağlantınız kesilmiş olabilir. Yandex Browser'ınız herhangi bir veri alışverişi yapılmadan önce bağlantıyı durdurduğu için bilgileriniz hâlâ güvende. example.com sitesi sertifika sabitleme yöntemini kullandığı için web sitesini şu anda ziyaret edemezsiniz. Ağ hataları ve saldırılar genellikle geçici olduğundan, bu sayfa muhtemelen daha sonra çalışacaktır.»
Dolayısıyla kök sertifikası anahtarı sitede sabitlenen anahtarla aynı değil demektir. Dolandırıcılar kök sertifikasını değiştirmeye çalışabilir. Bu durumda verilerinizi ele geçirebilirler. Bir anahtarı sabitleme hakkında daha fazla bilgi için HTTP Public Key Pinning makalesine (İngilizce) başvurun.
Şu bildirimi görürsünüz: «Genellikle example.com sitesi verilerinizi korumak için şifreleme kullanır. Ancak, tarayıcınız bu siteden şüpheli kimlik bilgileri almış bulunuyor. Başka bir web sitesi example.com gibi davranmaya çalışıyor ya da WiFi bağlantınız kesilmiş olabilir. Yandex Browser'ınız herhangi bir veri alışverişi yapılmadan önce bağlantıyı durdurduğu için bilgileriniz hâlâ güvende. example.com web sitesi HSTS kullandığı için bu siteyi şu anda ziyaret edemezsiniz. Ağ hataları ve saldırılar genellikle geçici olduğundan, bu sayfa muhtemelen daha sonra çalışacaktır.»
Bu durum, tarayıcınızın şifrelemeyi çalıştıramayınca bağlantınızı kestiği anlamına gelir. Siteyi barındıran sunucu HSTS protokolü kullandığı için genellikle şifreli çalışır. Şifrelemenin devre dışı olması ise sunucunun sanal saldırıya maruz kaldığının bir belirtisi olabilir. Bu durumda dolandırıcılar veya kötü amaçlı yazılımlar verilerinizi ele geçirebilir.
Sertifikayı veren yetkili tanınamıyorsa
Böyle durumlarda sertifika ağ yöneticisi ya da bir başkası tarafından yüklenmiş olabilir. Size şöyle bir uyarı mesajı gösterilir:
Siteye girmekten vazgeçebilir veya sertifikasını güvenli sertifikalar listesine ekleyebilirsiniz; bunu yapmak için Ayrıntılı bilgi ve ardından Bu siteyi istisna say butonlarına tıklayın. Eklenen sertifika bu listede 30 gün süreyle kalır. Sonrasında söz konusu sertifikayı tekrar listeye ekleyerek yeniden bir istisna olarak doğrulatmanız gerekir.
Sertifikasının güvenilirliğinden emin olmadığınız siteyi ziyaret etmeniz gerektiğinde aşağıda sıralanan şu önlemleri alın:
- Ev bilgisayarı için. Antivirüs uygulamanızı güncelleyip bilgisayarınızın zararlı yazılım kontrolünü yapın. Antivirüsünüz sisteminize saldırganlar tarafından yüklenmiş sertifikayı algılayıp temizlerse ilgili tarayıcı bildirimini bir daha görmezsiniz. Sertifika antivirüs tarafından temizlenmezse bunu işletim sistemi araçlarını kullanarak kendiniz de silebilirsiniz.Внимание. Dikkat: Söz konusu sertifika kötü amaçlı bir yazılım tarafından değil yararlı bir program tarafından kurulmuşsa silinmesi sisteminizin çalışmasını olumsuz etkileyebilir.
- İş bilgisayarı için. Şüpheli sertifikanın silinmesi için sistem yöneticinize başvurun. Bu sertifikayı kendisi kurmadıysa onu silecektir. Söz konusu sertifika sistem yöneticiniz tarafından kurulmuşsa Siteye git'e tıklayın. Fakat bu işlemden sonra yöneticinizin elektronik ödemelerinize ve kişisel verilerinize erişebileceğini unutmayın.
Sertifika bir program tarafından kurulmuşsa
Antivirüsler, reklam engelleyiciler, ağdaki gelişmeleri takip eden özel amaçlı uygulamalar gibi programlar site sertifikalarını kendi geliştirdikleri sertifikalarla değiştirebilir. Bu programlar veri trafiğini deşifre etmek için özel bir kök sertifikası oluşturup bunu güvenli bir sertifika olarak işletim sistemine yükler.
Böyle bir programın kurduğu sertifika güvenilir bir sertifika yetkilisine ait olmadığından güvenli sayılamaz. Bu durumda karşılaşılabilecek olası sorunlar:
- Bu özel programların geliştiricileri olan tanımadığınız kişiler kişisel verilerinize erişebilir.
- Sertifika, kendini özel amaçlı program gibi gösteren kötü amaçlı bir program tarafından kurulmuş olabilir. An itibarıyla internet tarayıcıları özel programların geliştirip kurduğu güvenlik sertifikalarının gerçekliğini kontrol edemiyor.
Yandex Browser bu tür sorunlarla ilgili sizi uyarır:

Siteyi ziyaret etmek için:
- Sertifikayı değiştiren programı belirleyin. Bunu yapmak için uyarı sayfasındaki bağlantıya tıklayın.
- Sertifikayı hazırlayanın kişisel verilerinize erişmesine izin verip vermeyeceğinize karar verin:
- Karar verdiyseniz Siteye git'e tıklayın.
- Onaylamıyorsanız program menüsünde HTTPS bağlantı kontrolü işlevini devre dışı bırakın. Aşağıdaki programlar için talimatları izleyebilirsiniz:
- AdGuard (AdGuard programı dışında aynı adı taşıyan ve kendi sertifikalarını oluşturmayan bir eklenti daha mevcuttur; dolayısıyla bu eklenti için denetimlerin devre dışı bırakılması gerekmez).
Внимание. HTTPS bağlantı kontrolünü kapatmanız korumasız kaldığınız anlamına gelmez: Yandex Browser yüklenecek dosyaların güvenlik kontrolünü kendi yapar, kötü amaçlı web sayfalarını ve banner'ları engeller ve ödemelerin yapıldığı banka ve ödeme sistemi sayfaları için özel ek korumayı uygular.HTTPS kontrolü devre dışıyken tarayıcınızdan şüpheli güvenlik sertifikası uyarılarını hala alıyor fakat sertifikayı kuran programa pek ihtiyaç duymuyorsanız o programı geçici olarak kapatmayı deneyin.
Phishing amaçlı (kimlik avı yapan) web sitesini şikayet et
Şüpheli bir siteyle karşılaştıysanız lütfen durumu geri bildirim formu üzerinden bize bildirin.