Yine Bir Kök Sertifika Sorunu: Let’s Encrypt DST Root CA X3

Let\’s Encrypt tarafından verilen TLS sertifikaları için, varsayılan zincirdeki root sertifikanın (DST Root CA X3) süresi 30 Eylül 2021\’de sona erdi. Sertifikanın süresi her ne kadar bitmiş olsa da sertifika zincirinin bir parçası olmaya devam edeceği için bazı sunucu ve istemcilerde hatalara sebep olacaktır. Bu bir sertifikanın süresinin dolduğu ile ilgili bir mesaj ile birlikte kullanıcıların TLS/HTTPS bağlantıları kurmamasına sebep olur.

Sıkıntı çıkartacak istemci sürümleri aşağıdaki gibidir, güncelleme yapmanız gerekiyor mecburen.

  • OpenSSL <= 1.0.2
  • Windows < XP SP3
  • macOS < 10.12.1
  • iOS < 10
  • Android < 7.1.1
  • Mozilla Firefox < 50
  • Ubuntu < 16.04
  • Debian < 8
  • Java 8 < 8u141
  • Java 7 < 7u151
  • NSS < 3.26

SSL hatasını düzeltmek için aşağıdaki adımları yapmanız önemle rica olunur.

Debian/Ubuntu

sudo apt install libgnutls-openssl27 libgnutls30
sudo apt install ca-certificates
sed -i 's/mozilla\/DST_Root_CA_X3.crt/!mozilla\/DST_Root_CA_X3.crt/g' /etc/ca-certificates.conf;
update-ca-certificates

RHEL/CENTOS/PLESK

yum upgrade ca-certificates
update-ca-trust force-enable

trust dump --filter pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90%75%ff%c4%15%60%85%89%10 | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem
update-ca-trust extract

Windows IIS

REG DELETE HKU\S-1-5-18\Software\Microsoft\SystemCertificates\CA\Certificates\48504E974C0DAC5B5CD476C8202274B24C8C7172 /f
REG DELETE HKLM\Software\Microsoft\SystemCertificates\CA\Certificates\48504E974C0DAC5B5CD476C8202274B24C8C7172 /f

iisreset /restart

macOS

sudo security delete-certificate -c DST Root CA X3

cPanel

/scripts/autorepair update_lets_encrypt_cabundles2

Docker

Aşağıdaki satırları DockerFile dosyanız içerisine ekleyiniz.

RUN mkdir /usr/local/share/ca-certificates/cacert.org
RUN cd /usr/local/share/ca-certificates/cacert.org && curl -k -O https://www.cacert.org/certs/root.crt 
RUN cd /usr/local/share/ca-certificates/cacert.org && curl -k -O https://www.cacert.org/certs/class3.crt
RUN update-ca-certificates
ENV CURL_CA_BUNDLE /etc/ssl/certs/ca-certificates.crt

Çözümünü istediğiniz cihaz ve sistemler için lütfen iletişime geçiniz.

Share this:

Leave a Comment

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.