Forum
Bildirimler
Hepsini Temizle
İpucu
18
Yazılar
4
Üyeler
0
Reactions
6,517
Görüntüleme
Konu başlatıcı
SSL Certificate Chain
SSL Sertifika zinciri, aslında Türkçe karşılığı olan zincir kelimesinde olduğu gibi bir birine bağlı olan ve en alttan en üste doğru sertifikaların verilişim sırasına göre dizilmesidir. Bir web servisi veya güvenlik amacı ile ulaştığınız bir sistemin kullanmış olduğu sertifikayı sizin aktif olarak kullanabilmeniz için öncelikle o sertifikayı veren Sertifika dağıtıcısına bilgisayarınızın veya kullandığınız aygıtın güvenmesi gereklidir. Aksi halde size bunu belirten bir uyarı çıkacağı gibi Outlook Anywhere örneğinde olduğu gibi sistem hiç çalışmayabilir. Peki bu sertifika zinciri ne için kullanılır? Örneğin şirketinizin bir web sitesi var ve bunun için bir sertifika satın almak istiyorsunuz, sizin satın alım yaptığınız firma aslında bir kök sertifika dağıtıcı olmayabilir, veya böyle bir firma olmasına karşın kök dağıtıcı rolünü aktif olarak sertifika dağıtımı için kullanmaz ( güvenlik nedeni ile), bu durumda kök sertifika dağıtıcısının onayladığı bir intermediate dediğimiz bir alt merci veya onunda onayladığı bir alt merci daha vermiş olabilir. İşte bunun gibi bir Root tarafından onaylanan bir intermediate CA' in veya onunda onayladığı bir alt intermediate CA' den sertifika almış olabilirsiniz. Ancak bu bağlantı sertifika zinciri olarak gösterilir ve günün sonunda bilgisayarınız bu aradaki dağıtıcılara güvenmiyor olsa bile kök dağıtıcıya güvenmesi otomatik olarak onun güvendiği ve güvendiği dağıtıcının verdiği sertifikaya güvenmemizi sağlar.
Burada bir kaç kafa karıştıran soru bulunmakta olup onun cevaplarını vermek istiyorum.
İlk olarak web serverımız için bir sertifika aldık, bunu veren intermediate üstündeki yani en üstteki root sertifikasını sunucuma yüklemem gerekiyor mu? HAYIR, çünkü buna güvenecek olan istemci makineler olup onlarda zaten olması gerekli, aksi halde merdiven altı bir kurumdan sertifika aldınız demektir, yani çok yaygın olmayan.
Peki Intermediate SSL sertifikalarını ( arada kaç tane var ise) yüklemek zorunda mıyım? EVET, aksi halde zincir kırılır ve son kullanıcının root' u bulamadığı durumalarda zincir de kırık olduğu için sertifikanız güvenilmeyen bir sertifika olarak isimlendirilir.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 05/07/2015 14:29
Bilgilendirme için teşekkürler hocam.
1984 doğumluyum. 4 yaşından bu yana İstanbul’da yaşıyorum. Sırası ile aşağıdaki okullarda eğitim gördüm. Paşaköy ilkokulu (1990-1995) Kartal Zekeriyya Güçer İlköğretim Okulu(1995-1998) Ümraniye Teknik ve Endüstri Meslek Lisesi Bilgisayar Bölümü(1998-2001) Kocaeli Üniversitesi Bilgisayar Programcılığı(2002-2004) Anadolu Ünv. İşletme Fakültesi(2006-2009) Lise yıllarından sonra bir bilgisayar firmasının teknik servisinde mesleğe merhaba dedim. Outsource olarak Citibank ytl ve bina taşınma projesinde yer alarak 8 ay görev yaptım. Bu görevden sonra şu an çalışmakta olduğum yerde bilgi işlem sorumlusu olarak göreve başladım ve 18 yıldır görevimin başındayım.
Gönderildi : 05/07/2015 16:35
Bilgilendirme için teşekkürler.
Ayrıca şunu da eklemek istiyorum günümüzde akıllı cihazlar oldukça yaygınlaştı ve bazı SSL firmaları merdiven altı değilde dünya genelinde gerçekten bu işin piri olan firmaların SSL sertifikalarını kullanırken akıllı cihazlarda özellikle Android cihazlarda SSL hatası alıyor olabilirsiniz.
Bunun için yapmanız gereken firmanın CABundle kodunu sunucuya gömmenizdir. Bu sorun daha çok linux sunucularda olmaktadır.
Gönderildi : 06/07/2015 12:44
Konu başlatıcı
Ziya ek için çok teşekkürler, aslında sende bu konuda çok değerli bilgiler var, bu noktadaki paylaşımlarını merakla bende bekliyorum. Malum Hosting tecrübesi çok değerli.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 06/07/2015 16:54
Ziya ek için çok teşekkürler, aslında sende bu konuda çok değerli bilgiler var, bu noktadaki paylaşımlarını merakla bende bekliyorum. Malum Hosting tecrübesi çok değerli.
Rica ederim hocam elimden geldiğince paylaşmaya çalışıyorum. Değerli bilgiler için sizede teşekkürler.
Gönderildi : 06/07/2015 19:56
hocam merhabalar sertifika konusu acılmışken bir müşterimizde yaşanan cert. sorunundan bahsetmeden gecemedim.
app.xxx.com adlı bir site TLS 1.0 destekli bir sertifika mevcut ve güncel. siteye her yerden erişebiliyorum. fakat bahsedilen müşterimizdeki hic bir bilgisayar ilgili sertifikayı yükleyemediği için bağlantı tamamlanmıyor.
Bir kaç browser üzerinden denendi. TLS 1.0 bağlantı isteklerini kabul edecek sekilde ie , ff, chrome ayarları normal olduğu görüldü.
İlgili sertifika başka bir yerden alınıp maneul import edildi . sorun yine aynı.
Bu sorun müşteri tarafındaki bütün client'ların ortak sorunu mudur? Yoksa ilgili site yöneticileri tarafından cozulecek bir sorun mudur.?
Değerli fikir ve önerileriniz için teşekküerl
Gönderildi : 06/07/2015 20:46
Merhaba,
Hatayı görebilme imkanımız veya siteyi iletme imkanınız varsa daha güzel olur.
Gönderildi : 07/07/2015 11:48
Güvenli bağlantı girişimi başarısız
app.dakika.com.tr bağlantısı sırasında bir hata oluştu. Karşı taraf desteklenmeyen bir güvenlik iletişim kuralı kullanıyor. (Hata kodu: ssl_error_unsupported_version)
Görüntülemeye çalıştığınız sayfa, alınan verilerin yetkinliği doğrulanamadığı için gösterilemiyor.
Lütfen site yöneticisi ile irtibata geçip durumu bildirin.
hocam sertifika yüklenemediği için bu hatayı veriyor. İlgili site yöneticileri de müşterimizdeki bu sorun üzerinde calısıyor su anda. Sizinde fikrinizi almak istedik saygılar .
Gönderildi : 07/07/2015 11:53
Vermiş olduğunuz link sorunsuz şekilde açılıyor.
https://www.sslshopper.com/ssl-checker.html#hostname=https://app.dakika.com.tr
Test sonuçlarındada bir problem gözükmüyor, sizde SSL hatasımı çıkıyor şu an da ? Yoksa SSL'imi değiştiniz ?
Gönderildi : 07/07/2015 12:11
Ziya bey
sertifika sorunu yok evet , zaten müşteri lokasyonu haric diğer yerlerden ilgili siteye erişimde de problem yok.
Fakat sadece bu müşterinin bütün clientlarından bu siteye erişmeye çalıştığımızda bu hata ile karşılaşıyoruz.
ie 'de sayfaya bağlanılamadı
ff'da güvenli bağlantı sağlanamdı hatası mevcut. Sertifikayı clientların hiç biri yükleyemiyor.
Saat tarih ayarları , browser ssl, tls ayarlarıda normal . Ama bağlanmıyor.
Gönderildi : 07/07/2015 12:44
Şimdi tam olarak anlaşıldı sorun 🙂
Muhtemelen Hakan hocamında bahsettiği Root sertifika sisteminden kaynaklanıyor , root sertifikayı veren firma pek yaygın bir firma değil.
Eğer karşı tarafta bağlantıları kontrol eden firewall tarzı bir cihaz varsa bu root sertifikaya güvenmiyor olabilir veya anti virüs tarzı bir şey varsa buda root sertifikaya güvenmiyor olabilir.
Ayrıca bilgisayarların updateleri yapılmış mı ve Client işletim sistemleri Windows 7+ 'mı ?
Gönderildi : 07/07/2015 14:12
karşı taraftan kastımız müşterimi ziya bey ?
Client updateleri normal windows 8.1 hepsi .
ilgili site yoneticileri fw üzerinden kontrolü sağladı bağlantıların geldiği görünüyor müşteri ip adresinden fakat tamamlanamıyor.?
Müşteri firewall da bir ayar girilmesi gerekir mi bu sertfika için. Ama block'lanan bir log da görünmüyor müşteri tarafında.
Ben x lokasyondaki bir windows makineden root sertfikaları export edip sorun yaşayan müşterideki root sertifikalarla değiştirmem fayda edermi. ?
ilgili sitede root sertifika sorunu olsaydı diğer isteklerde de sorun yaşanmaz mıydı ?
cok soru sordum mazur görün : )
tşkler
Gönderildi : 07/07/2015 14:52
Root sertifikada sorun var demiyorum ben zaten, root sertifika yaygın bir sertifika değil Windows buna güveniyor ancak Linux sunucular buna güvenmeyebilir android buna güvenmeyebilir. Root sertifika ile ilgili demek istediğim buydu.
Client işletim sistemi kaynaklı olduğunu zannetmiyorum ancak root sertifikayı Trusted Root Certificate Authorities yükeyip kontrol edin tekrardan sonuçta kaybedeceğiniz birşey yok 🙂
Anti-virüs varmı client'larda onları kontrol edermisiniz ?
Gönderildi : 07/07/2015 16:02
anladım ziya bey
clientlarda mcaffee antivirus kurulu ve devre dışı bırakıp da denedik . bir türlü sertifika yüklenip bağlantıyı tamamlamıyor.
kok sertifikalarını kontrol ettim benim bilgisayarımla aynı sertifikalar olmasına rağmen burada acmıyor.
Gönderildi : 07/07/2015 17:57
Konu başlatıcı
Merhaba Murat Bey,
Bu siteyi açmayan bir istemcide sertifika chain görüntüleme şansınız oldu mu?
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 08/07/2015 23:17
Hakan Hocam
ilgili site için sorun yaşayan istemcilerde sertifika alınamadığı için sertika chain de görüntülenmiyor.
En belirgin hatayıda firefox tarayıcıda alıyorum.
app.dakika.com.tr bağlantısı sırasında bir hata oluştu. Karşı taraf desteklenmeyen bir güvenlik iletişim kuralı kullanıyor. (Hata kodu: ssl_error_unsupported_version)
Görüntülemeye çalıştığınız sayfa, alınan verilerin yetkinliği doğrulanamadığı için gösterilemiyor.
Lütfen site yöneticisi ile irtibata geçip durumu bildirin.
istemcilere ilgili sitenin kök sertifikalarını (Thawte root) yeniden import ettim. Tarayıcıların ssl/tls ayarları ve antivirüs ayarlarıda normal. Site yöneticileride cok üzerinde durmadı acıkcası.
Hocam
bu siteye erişimde ( https://app.dakika.com.tr/payroll) sertifika chainde ara sertfika 1 tane. Bu ara sertifikayı istemciler otomatik install ederek zinciri tamamlaması gerekiyor. Başka erişen istemcilerde ara sertifika dizininde (thawte DV SSL SA-G2) olmadan güvenli bağlantı sağlanıyor.
Çözüm olurmu bilmiyorum ama birde istemci ara sertifika dizinine (thawte DV SSL SA-G2) ara sertifikasını maneul ekleyip deneyeceğim.
sorunun hangi tarafta olduğundan da henüz tam emin olamadık. Üzerinde calısmaya devam ediyoruz.
Yardımlarınız için Teşekkürler
Gönderildi : 09/07/2015 13:07
Merhaba
sorun :
ilgili Thawte Root CA'nın firewall üzerine import edilmesi ile çözülmüştür.
yardımlarınız için teşekkürler
Gönderildi : 09/07/2015 14:18
Konu başlatıcı
SSL inspection yaptığınız için firewall un web sitesinin root sertifikasına güvenmesi gerekli, bu durumdan haberimiz yoktu ama 🙂
geri dönüş ve bilgilendirme için teşekkürler.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 10/07/2015 17:48
