Deepseek, AI uygulamaları ve güvenlik açıkları bağlamında belirtildiği gibi, bir SSL sertifikasının dijital imzasını doğrulama adımlarını açıkça ayrıntılı olarak ayrıntılı olarak ayrıntılı olarak ayrıntılı olarak ayrıntılı olarak açıklamamaktadır. Bununla birlikte, SSL sertifikası doğrulaması için genel uygulamalara dayanarak, bir SSL sertifikasının dijital imzasını doğrulamada yer alacak tipik adımlar:
1. Genel Anahtar Alın: Müşteri (örneğin, bir web tarayıcısı veya uygulama) SSL sertifikasını yayınlayan Sertifika Otoritesinin (CA) genel anahtarını alır. Bu genel anahtar tipik olarak müşteri içindeki güvenilir bir sertifika deposunda saklanır.
2. Dijital imzanın şifresini çözün: Müşteri, SSL sertifikasına bağlı dijital imzanın çözülmesi için CA'nın genel anahtarını kullanır. Bu dijital imza, CA'nın özel anahtarı kullanılarak şifrelenen sertifikanın içeriğinin bir karmasıdır.
3. Yeni bir karma oluşturun: İstemci, CA tarafından kullanılan aynı algoritmayı kullanarak SSL sertifikasının içeriğinin (özellikle "imzalanacak" kısmı) yeni bir karma oluşturur.
4. Karşılaştırın: İstemci, şifre çözülmüş karma durumdan dijital imzadan yeni oluşturulan karma ile karşılaştırır. İki karma eşleşirse, sertifikanın kurcalanmadığını ve gerçekten de CA tarafından imzalandığını gösterir.
5. Sertifika Geçerliliğini Kontrol Edin: İstemci SSL sertifikasının geçerli olduğunu ve süresi dolmadığını doğrular. Ayrıca, sertifikanın bir Sertifika İptal Listesi (CRL) danışarak veya çevrimiçi Sertifika Durum Protokolü (OCSP) kullanılarak iptal edilip edilmediğini kontrol eder.
6. Sertifika Zincirini doğrulayın: İstemci, SSL sertifikasının geçerli bir sertifika zincirinin bir parçası olmasını sağlar, yani güvenilir bir CA tarafından verilir ve tüm ara sertifikalar geçerli ve güvenilirdir.
7. Alan Adı Doğrulama: İstemci, SSL sertifikasındaki alan adının erişilen web sitesinin alan adıyla eşleşip eşleşmediğini kontrol eder. Bu, sertifikanın doğru etki alanı için kullanılmasını sağlar.
8. Güven Mağazası Doğrulaması: Müşteri, sertifikayı yayınlayan CA'nın güven deposuna dahil edildiğini doğrular. CA'ya güvenilmezse, sertifika geçersiz kabul edilir.
Deepseek bu adımları uygulayacak olsaydı, meşru sunuculara bağlanmasını ve kimliğe bürünme saldırılarına karşı korunmasını sağlayarak güvenliğini önemli ölçüde artıracaktır. Bununla birlikte, arama sonuçlarında belirtildiği gibi, Deepseek uygun SSL validasyonu eksikliği ile ilgili sorunlarla karşılaşmıştır, bu da onu bu tür tehditlere karşı savunmasız hale getirmiştir [6].
Alıntılar:
[1] https://apidog.com/blog/ssl-certificate-ferifification/
[2] https://sslinsights.com/what-are-digital-sigatures-in-ssl-tls/
[3] https://help.deepsecurity.trendmicro.com/11_0/on-premise/digital-sigature-check.html
[4] https://www.appdome.com/dev-sec-blog/ssl-certificate-validation-and-pinning/
[5] https://commandlinefanatic.com/cgi-bin/showarticle.cgi?article=art012
[6] https://www.appknox.com/blog/is-your-ai-app-safe-analyzing-deepseek
[7] https://brainsteam.co.uk/2025/2/12/ai-code-assistant-curl-ssl/
[8] https://www.keenformatics.com/Manual-ivering-an-ssl-certificate/