Forum
Merhaba, günlük olarak sık kullandığımız bir çok siteye bugün itibariyle erişemiyoruz. Web filtrelemeyi kapattığım halde bu sorun devam etmektedir. Bu konu ile ilgili yardımcı olur musunuz?
Siteler;
n11.com
gibi
Sanırım sertifika sorunu var ama hangi sertifikayı kullanmam gerekiyor bilemiyorum.
Konu bunun ile ilgili sanırım
Lets encrypt kök sertifikasinin suresi doldugu icin lets kullanan sayfalara Fortigate veya diger firewall cihazlarindan erisirken sorun yasayacaklar expired certificates allow demek gerekiyor bunun içinde.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Ama tabi bu bir güvenlik riski, ama hızlı çözülür diye düşünüyorum çünkü aktif çok kullanılan bir sistem bu.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Konu bunun ile ilgili sanırım
Lets encrypt kök sertifikasinin suresi doldugu icin lets kullanan sayfalara Fortigate veya diger firewall cihazlarindan erisirken sorun yasayacaklar expired certificates allow demek gerekiyor bunun içinde.
Hocam bende de aynı sorun var ilk sorum ''expired certificates allow'' bölümünü tam olarak nereden yapıyoruz, ikinci sorum sertifikalar bölümüne baktığımda hepsinin süresi var gözüküyor kök sertifikayı nereden yönetebilirim? Teşekkür ediyorum
Konu bunun ile ilgili sanırım
Lets encrypt kök sertifikasinin suresi doldugu icin lets kullanan sayfalara Fortigate veya diger firewall cihazlarindan erisirken sorun yasayacaklar expired certificates allow demek gerekiyor bunun içinde.
Hocam bende de aynı sorun var ilk sorum ''expired certificates allow'' bölümünü tam olarak nereden yapıyoruz, ikinci sorum sertifikalar bölümüne baktığımda hepsinin süresi var gözüküyor kök sertifikayı nereden yönetebilirim? Teşekkür ediyorum
Dediğiniz gibi sertfikanın süresi dolmuş gözüküyor.
Fortigate cihazindan settings bölümüne sonra SSL/SS inspection bölümüne girip, fotoğrafta ki ayarların aynısı olacak şekilde yeni bir SSL/SS inspection oluşturmak gerekiyor sorunun çözülmesi için.
Konu bunun ile ilgili sanırım
Lets encrypt kök sertifikasinin suresi doldugu icin lets kullanan sayfalara Fortigate veya diger firewall cihazlarindan erisirken sorun yasayacaklar expired certificates allow demek gerekiyor bunun içinde.
Yararlı bilgi. Teşekkürler Hakan hocam.
Yanlız çok ilginç bir durum. "Letsencrypt.org" dahi bir çok site hala açılmıyor ve hala resmi bir açıklama yok bu durumla alakalı.
Fortigate cihazindan settings bölümüne sonra SSL/SS inspection bölümüne girip, fotoğrafta ki ayarların aynısı olacak şekilde yeni bir SSL/SS inspection oluşturmak gerekiyor sorunun çözülmesi için.
''Invalid SSL certificates'' direkt allow yaptığım halde bile değişiklik olmadı hocam ben de
O sayfa da eğer altta ki fotoğrafta yer alan policylerden kilit işaretliyi değiştirmeye çalışıyorsanız işe yaramıyor yaptığınız değişiklik. Üstte ki mesajımda bulunan fotoğrafın birebir aynısını içeren yeni bir policy oluşturursanız sistem düzelmesi gerekiyor arkadaşım o şekilde yaptı düzeldi.
O sayfa da eğer altta ki fotoğrafta yer alan policylerden kilit işaretliyi değiştirmeye çalışıyorsanız işe yaramıyor yaptığınız değişiklik. Üstte ki mesajımda bulunan fotoğrafın birebir aynısını içeren yeni bir policy oluşturursanız sistem düzelmesi gerekiyor arkadaşım o şekilde yaptı düzeldi.
Dediğiniz gibi yeni bir policy oluşturdum yazınızdaki gibi ve birebir aynısını yaptım ama değişmedi. kilitli certiface da cli console dan işlem yapıp allow haline getirebilir miyim acaba?
@qvkare Bu işlem için yeterli bilgiye sahip değilim maalesef.
@qvkare Bu işlem için yeterli bilgiye sahip değilim maalesef.
teşekkür ederim, fortigate uzmanı @hakanuzuner hocamı bekliyorum 🙂
Support'unuz yok mu durumunuzla ilgili ticket açarsanız daha hızlı çözüm bulursunuz.
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Selamlar ,
Aşağıdaki işlemler ile geçici çözüm sağlanabilir ilgili döküman Distribütör tarafından paylaşılmıştır.
Bir kök sertifika yetkilisinin (ISRG Root X1) sertifika zinciriyle ilgili devam eden bir sorun tespit edilmiştir. Bu sorun, ister derin (deep) ister yalnızca sertifika denetimi kullanılıyor olsun, tüm SSL denetim ürünleri satıcılarını etkileyecektir.
Bu makalede 30.09.2021 itibariyle baş gösteren, ISRG Root CA sertifikası kullanan web sitelerindeki sertifika hatasının geçici olarak FortiGate sistemlerinde nasıl önleneceği anlatılmaktadır.
Öncelikle sisteminizin konfigürasyon yedeğini almalısınız.
Kurallarınızda kullanılan “SSL/SSH Inspection” profilinizde aşağıdaki gibi “Expired certificates” alanını “Allow” şeklinde düzenlemelisiniz :
Eğer “Deep Inspection” türünde bir derin (deep) ssl/ssh profil kullanıyorsanız, ayar aşağıdaki gibi olmalıdır :
* Eğer, “certificate-inspection” veya “deep-inspection” isimli, değiştirilemeyen profilllerden birini kullanıyorsanız, varolan bu profili aşağıdaki gibi klonlayarak, yeni bir profil olarak kaydetmeli ve gerekli değişikliği uygulayarak kurallarınızda aktif etmelisiniz.
***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.
Support'unuz yok mu durumunuzla ilgili ticket açarsanız daha hızlı çözüm bulursunuz.
Hocam kendim çözmek istiyorum desteğimiz var ama öğrenmek istiyorum
Selamlar ,
Aşağıdaki işlemler ile geçici çözüm sağlanabilir ilgili döküman Distribütör tarafından paylaşılmıştır.
Bir kök sertifika yetkilisinin (ISRG Root X1) sertifika zinciriyle ilgili devam eden bir sorun tespit edilmiştir. Bu sorun, ister derin (deep) ister yalnızca sertifika denetimi kullanılıyor olsun, tüm SSL denetim ürünleri satıcılarını etkileyecektir.
Bu makalede 30.09.2021 itibariyle baş gösteren, ISRG Root CA sertifikası kullanan web sitelerindeki sertifika hatasının geçici olarak FortiGate sistemlerinde nasıl önleneceği anlatılmaktadır.
Öncelikle sisteminizin konfigürasyon yedeğini almalısınız.
Kurallarınızda kullanılan “SSL/SSH Inspection” profilinizde aşağıdaki gibi “Expired certificates” alanını “Allow” şeklinde düzenlemelisiniz :
Eğer “Deep Inspection” türünde bir derin (deep) ssl/ssh profil kullanıyorsanız, ayar aşağıdaki gibi olmalıdır :
* Eğer, “certificate-inspection” veya “deep-inspection” isimli, değiştirilemeyen profilllerden birini kullanıyorsanız, varolan bu profili aşağıdaki gibi klonlayarak, yeni bir profil olarak kaydetmeli ve gerekli değişikliği uygulayarak kurallarınızda aktif etmelisiniz.
Hocam elinize sağlık teşekkür ederim
Deep Inspection profillerinde yukarda anlatıldığı gibi Expired Certificate için davranışını Trust&Allow yaptık.
Certificate Inspection profili Read-Only olduğu için bu ayarı değiştirilemiyor bu yüzden bu profili klonlayarak (bir kaç yerde klonlamaya da izin vermedi bu yüzden cli üzerinden yaptık) veya aşağıdai şekilde CLI üzerinden yeni profil açıp Certificate Inspection yerine bu yeni profili kullandık. Şu an bi sorun yok.
config firewall ssl-ssh-profile
edit "cert_insp_allow_all"
config https
set ports 443
set status certificate-inspection
set expired-server-cert allow
set cert-validation-failure allow
end
config ftps
set status disable
set expired-server-cert allow
set cert-validation-failure allow
end
config imaps
set status disable
set expired-server-cert allow
set cert-validation-failure allow
end
config pop3s
set status disable
set expired-server-cert allow
set cert-validation-failure allow
end
config smtps
set status disable
set expired-server-cert allow
set cert-validation-failure allow
end
config ssh
set ports 22
set status disable
end
config dot
set status disable
set expired-server-cert allow
set cert-validation-failure allow
end
next
end
yine dediğiniz gibi kilitli olduğu için üsttekiler bende de işe yaramadı ama sonra yukarıdaki bloğu buldum orada yazan cli üzerinden
config system dns-database
edit "1"
set domain "identrust.com"
config dns-entry
edit 1
set hostname "apps"
set ip 127.0.0.1
next
end
next
end
yaptım sorun çözüldü teşekkürler yardımcı olan herkese