Genel

Yine Bir Kök Sertifika Sorunu: Let’s Encrypt DST Root CA X31 min read

Eki 2, 2021

Yine Bir Kök Sertifika Sorunu: Let’s Encrypt DST Root CA X31 min read

Let’s Encrypt tarafından verilen TLS sertifikaları için, varsayılan zincirdeki root sertifikanın (DST Root CA X3) süresi 30 Eylül 2021‘de sona erdi. Sertifikanın süresi her ne kadar bitmiş olsa da sertifika zincirinin bir parçası olmaya devam edeceği için bazı sunucu ve istemcilerde hatalara sebep olacaktır. Bu bir sertifikanın süresinin dolduğu ile ilgili bir mesaj ile birlikte kullanıcıların TLS/HTTPS bağlantıları kurmamasına sebep olur.

Sıkıntı çıkartacak istemci sürümleri aşağıdaki gibidir, güncelleme yapmanız gerekiyor mecburen.

  • OpenSSL <= 1.0.2
  • Windows < XP SP3
  • macOS < 10.12.1
  • iOS < 10
  • Android < 7.1.1
  • Mozilla Firefox < 50
  • Ubuntu < 16.04
  • Debian < 8
  • Java 8 < 8u141
  • Java 7 < 7u151
  • NSS < 3.26

SSL hatasını düzeltmek için aşağıdaki adımları yapmanız önemle rica olunur.

Debian/Ubuntu

sudo apt install libgnutls-openssl27 libgnutls30
sudo apt install ca-certificates
sed -i 's/mozilla\/DST_Root_CA_X3.crt/!mozilla\/DST_Root_CA_X3.crt/g' /etc/ca-certificates.conf;
update-ca-certificates

RHEL/CENTOS/PLESK

yum upgrade ca-certificates
update-ca-trust force-enable

trust dump --filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90%75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem
update-ca-trust extract

Windows IIS

REG DELETE HKU\S-1-5-18\Software\Microsoft\SystemCertificates\CA\Certificates504E974C0DAC5B5CD476C8202274B24C8C7172 /f
REG DELETE HKLM\Software\Microsoft\SystemCertificates\CA\Certificates504E974C0DAC5B5CD476C8202274B24C8C7172 /f

iisreset /restart

macOS

sudo security delete-certificate -c "DST Root CA X3"

cPanel

/scripts/autorepair update_lets_encrypt_cabundles2

Docker

Aşağıdaki satırları DockerFile dosyanız içerisine ekleyiniz.

RUN mkdir /usr/local/share/ca-certificates/cacert.org
RUN cd /usr/local/share/ca-certificates/cacert.org && curl -k -O https://www.cacert.org/certs/root.crt 
RUN cd /usr/local/share/ca-certificates/cacert.org && curl -k -O https://www.cacert.org/certs/class3.crt
RUN update-ca-certificates
ENV CURL_CA_BUNDLE /etc/ssl/certs/ca-certificates.crt

Çözümünü istediğiniz cihaz ve sistemler için lütfen iletişime geçiniz.

blank

Sistem Uzmanı, Linux Hacısı, El-Kernel