Merhaba, günlük olarak sık kullandığımız bir çok siteye bugün itibariyle erişemiyoruz. Web filtrelemeyi kapattığım halde bu sorun devam etmektedir. Bu konu ile ilgili yardımcı olur musunuz? Siteler;
n11.com
gibi
Sanırım sertifika sorunu var ama hangi sertifikayı kullanmam gerekiyor bilemiyorum.
Lets encrypt kök sertifikasinin suresi doldugu icin lets kullanan sayfalara Fortigate veya diger firewall cihazlarindan erisirken sorun yasayacaklar expired certificates allow demek gerekiyor bunun içinde.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Ama tabi bu bir güvenlik riski, ama hızlı çözülür diye düşünüyorum çünkü aktif çok kullanılan bir sistem bu.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Lets encrypt kök sertifikasinin suresi doldugu icin lets kullanan sayfalara Fortigate veya diger firewall cihazlarindan erisirken sorun yasayacaklar expired certificates allow demek gerekiyor bunun içinde.
Hocam bende de aynı sorun var ilk sorum ''expired certificates allow'' bölümünü tam olarak nereden yapıyoruz, ikinci sorum sertifikalar bölümüne baktığımda hepsinin süresi var gözüküyor kök sertifikayı nereden yönetebilirim? Teşekkür ediyorum
Lets encrypt kök sertifikasinin suresi doldugu icin lets kullanan sayfalara Fortigate veya diger firewall cihazlarindan erisirken sorun yasayacaklar expired certificates allow demek gerekiyor bunun içinde.
Hocam bende de aynı sorun var ilk sorum ''expired certificates allow'' bölümünü tam olarak nereden yapıyoruz, ikinci sorum sertifikalar bölümüne baktığımda hepsinin süresi var gözüküyor kök sertifikayı nereden yönetebilirim? Teşekkür ediyorum
Dediğiniz gibi sertfikanın süresi dolmuş gözüküyor.
Fortigate cihazindan settings bölümüne sonra SSL/SS inspection bölümüne girip, fotoğrafta ki ayarların aynısı olacak şekilde yeni bir SSL/SS inspection oluşturmak gerekiyor sorunun çözülmesi için.
Lets encrypt kök sertifikasinin suresi doldugu icin lets kullanan sayfalara Fortigate veya diger firewall cihazlarindan erisirken sorun yasayacaklar expired certificates allow demek gerekiyor bunun içinde.
Yararlı bilgi. Teşekkürler Hakan hocam.
Yanlız çok ilginç bir durum. "Letsencrypt.org" dahi bir çok site hala açılmıyor ve hala resmi bir açıklama yok bu durumla alakalı.
Fortigate cihazindan settings bölümüne sonra SSL/SS inspection bölümüne girip, fotoğrafta ki ayarların aynısı olacak şekilde yeni bir SSL/SS inspection oluşturmak gerekiyor sorunun çözülmesi için.
''Invalid SSL certificates'' direkt allow yaptığım halde bile değişiklik olmadı hocam ben de
O sayfa da eğer altta ki fotoğrafta yer alan policylerden kilit işaretliyi değiştirmeye çalışıyorsanız işe yaramıyor yaptığınız değişiklik. Üstte ki mesajımda bulunan fotoğrafın birebir aynısını içeren yeni bir policy oluşturursanız sistem düzelmesi gerekiyor arkadaşım o şekilde yaptı düzeldi.
O sayfa da eğer altta ki fotoğrafta yer alan policylerden kilit işaretliyi değiştirmeye çalışıyorsanız işe yaramıyor yaptığınız değişiklik. Üstte ki mesajımda bulunan fotoğrafın birebir aynısını içeren yeni bir policy oluşturursanız sistem düzelmesi gerekiyor arkadaşım o şekilde yaptı düzeldi.
Dediğiniz gibi yeni bir policy oluşturdum yazınızdaki gibi ve birebir aynısını yaptım ama değişmedi. kilitli certiface da cli console dan işlem yapıp allow haline getirebilir miyim acaba?
Support'unuz yok mu durumunuzla ilgili ticket açarsanız daha hızlı çözüm bulursunuz.
'balık vermez, nasıl tutulabildiğine yönlendirir' **************************************************************** Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır. *****************************************************************
Aşağıdaki işlemler ile geçici çözüm sağlanabilir ilgili döküman Distribütör tarafından paylaşılmıştır.
Bir kök sertifika yetkilisinin (ISRG Root X1) sertifika zinciriyle ilgili devam eden bir sorun tespit edilmiştir. Bu sorun, ister derin (deep) ister yalnızca sertifika denetimi kullanılıyor olsun, tüm SSL denetim ürünleri satıcılarını etkileyecektir. Bu makalede 30.09.2021 itibariyle baş gösteren, ISRG Root CA sertifikası kullanan web sitelerindeki sertifika hatasının geçici olarak FortiGate sistemlerinde nasıl önleneceği anlatılmaktadır.
Kurallarınızda kullanılan “SSL/SSH Inspection” profilinizde aşağıdaki gibi “Expired certificates” alanını “Allow” şeklinde düzenlemelisiniz :
Eğer “Deep Inspection” türünde bir derin (deep) ssl/ssh profil kullanıyorsanız, ayar aşağıdaki gibi olmalıdır :
* Eğer, “certificate-inspection” veya “deep-inspection” isimli, değiştirilemeyen profilllerden birini kullanıyorsanız, varolan bu profili aşağıdaki gibi klonlayarak, yeni bir profil olarak kaydetmeli ve gerekli değişikliği uygulayarak kurallarınızda aktif etmelisiniz.
***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.
Aşağıdaki işlemler ile geçici çözüm sağlanabilir ilgili döküman Distribütör tarafından paylaşılmıştır.
Bir kök sertifika yetkilisinin (ISRG Root X1) sertifika zinciriyle ilgili devam eden bir sorun tespit edilmiştir. Bu sorun, ister derin (deep) ister yalnızca sertifika denetimi kullanılıyor olsun, tüm SSL denetim ürünleri satıcılarını etkileyecektir. Bu makalede 30.09.2021 itibariyle baş gösteren, ISRG Root CA sertifikası kullanan web sitelerindeki sertifika hatasının geçici olarak FortiGate sistemlerinde nasıl önleneceği anlatılmaktadır.
Kurallarınızda kullanılan “SSL/SSH Inspection” profilinizde aşağıdaki gibi “Expired certificates” alanını “Allow” şeklinde düzenlemelisiniz :
Eğer “Deep Inspection” türünde bir derin (deep) ssl/ssh profil kullanıyorsanız, ayar aşağıdaki gibi olmalıdır :
* Eğer, “certificate-inspection” veya “deep-inspection” isimli, değiştirilemeyen profilllerden birini kullanıyorsanız, varolan bu profili aşağıdaki gibi klonlayarak, yeni bir profil olarak kaydetmeli ve gerekli değişikliği uygulayarak kurallarınızda aktif etmelisiniz.
Deep Inspection profillerinde yukarda anlatıldığı gibi Expired Certificate için davranışını Trust&Allow yaptık.
Certificate Inspection profili Read-Only olduğu için bu ayarı değiştirilemiyor bu yüzden bu profili klonlayarak (bir kaç yerde klonlamaya da izin vermedi bu yüzden cli üzerinden yaptık) veya aşağıdai şekilde CLI üzerinden yeni profil açıp Certificate Inspection yerine bu yeni profili kullandık. Şu an bi sorun yok.
config firewall ssl-ssh-profile edit "cert_insp_allow_all" config https set ports 443 set status certificate-inspection set expired-server-cert allow set cert-validation-failure allow end config ftps set status disable set expired-server-cert allow set cert-validation-failure allow end config imaps set status disable set expired-server-cert allow set cert-validation-failure allow end config pop3s set status disable set expired-server-cert allow set cert-validation-failure allow end config smtps set status disable set expired-server-cert allow set cert-validation-failure allow end config ssh set ports 22 set status disable end config dot set status disable set expired-server-cert allow set cert-validation-failure allow end next end
