Forum

SSL Certificate Cha...
 
Bildirimler
Hepsini Temizle

SSL Certificate Chain Nedir? Nasıl Çalışır? Certification Path

18 Yazılar
4 Üyeler
0 Reactions
7,776 Görüntüleme
Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33303
Illustrious Member Yönetici
Konu başlatıcı
 

SSL Certificate Chain

SSL Sertifika zinciri, aslında Türkçe karşılığı olan zincir kelimesinde olduğu gibi bir birine bağlı olan ve en alttan en üste doğru sertifikaların verilişim sırasına göre dizilmesidir. Bir web servisi veya güvenlik amacı ile ulaştığınız bir sistemin kullanmış olduğu sertifikayı sizin aktif olarak kullanabilmeniz için öncelikle o sertifikayı veren Sertifika dağıtıcısına bilgisayarınızın veya kullandığınız aygıtın güvenmesi gereklidir. Aksi halde size bunu belirten bir uyarı çıkacağı gibi Outlook Anywhere örneğinde olduğu gibi sistem hiç çalışmayabilir. Peki bu sertifika zinciri ne için kullanılır? Örneğin şirketinizin bir web sitesi var ve bunun için bir sertifika satın almak istiyorsunuz, sizin satın alım yaptığınız firma aslında bir kök sertifika dağıtıcı olmayabilir, veya böyle bir firma olmasına karşın kök dağıtıcı rolünü aktif olarak sertifika dağıtımı için kullanmaz ( güvenlik nedeni ile), bu durumda kök sertifika dağıtıcısının onayladığı bir intermediate dediğimiz bir alt merci veya onunda onayladığı bir alt merci daha vermiş olabilir. İşte bunun gibi bir Root tarafından onaylanan bir intermediate CA' in veya onunda onayladığı bir alt intermediate CA' den sertifika almış olabilirsiniz. Ancak bu bağlantı sertifika zinciri olarak gösterilir ve günün sonunda bilgisayarınız bu aradaki dağıtıcılara güvenmiyor olsa bile kök dağıtıcıya güvenmesi otomatik olarak onun güvendiği ve güvendiği dağıtıcının verdiği sertifikaya güvenmemizi sağlar.

Burada bir kaç kafa karıştıran soru bulunmakta olup onun cevaplarını vermek istiyorum.

İlk olarak web serverımız için bir sertifika aldık, bunu veren intermediate üstündeki yani en üstteki root sertifikasını sunucuma yüklemem gerekiyor mu? HAYIR, çünkü buna güvenecek olan istemci makineler olup onlarda zaten olması gerekli, aksi halde merdiven altı bir kurumdan sertifika aldınız demektir, yani çok yaygın olmayan.

Peki Intermediate SSL sertifikalarını ( arada kaç tane var ise) yüklemek zorunda mıyım? EVET, aksi halde zincir kırılır ve son kullanıcının root' u bulamadığı durumalarda zincir de kırık olduğu için sertifikanız güvenilmeyen bir sertifika olarak isimlendirilir.

 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 05/07/2015 14:29

(@riza-sahan)
Gönderiler: 18032
_
 

Bilgilendirme için teşekkürler hocam.  

1984 doğumluyum. 4 yaşından bu yana İstanbul’da yaşıyorum. Sırası ile aşağıdaki okullarda eğitim gördüm. Paşaköy ilkokulu (1990-1995) Kartal Zekeriyya Güçer İlköğretim Okulu(1995-1998) Ümraniye Teknik ve Endüstri Meslek Lisesi Bilgisayar Bölümü(1998-2001) Kocaeli Üniversitesi Bilgisayar Programcılığı(2002-2004) Anadolu Ünv. İşletme Fakültesi(2006-2009) Lise yıllarından sonra bir bilgisayar firmasının teknik servisinde mesleğe merhaba dedim. Outsource olarak Citibank ytl ve bina taşınma projesinde yer alarak 8 ay görev yaptım. Bu görevden sonra şu an çalışmakta olduğum yerde bilgi işlem sorumlusu olarak göreve başladım ve 18 yıldır görevimin başındayım.

 
Gönderildi : 05/07/2015 16:35

(@okanozbey)
Gönderiler: 1308
Okan ÖZBEY
 

Bilgilendirme için teşekkürler. 

Ayrıca şunu da eklemek istiyorum günümüzde akıllı cihazlar oldukça yaygınlaştı ve bazı SSL firmaları merdiven altı değilde dünya genelinde gerçekten bu işin piri olan firmaların SSL sertifikalarını kullanırken akıllı cihazlarda özellikle Android cihazlarda SSL hatası alıyor olabilirsiniz. 

Bunun için yapmanız gereken firmanın CABundle kodunu sunucuya gömmenizdir. Bu sorun daha çok linux sunucularda olmaktadır. 

www.okanozbey.com

 
Gönderildi : 06/07/2015 12:44

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33303
Illustrious Member Yönetici
Konu başlatıcı
 

Ziya ek için çok teşekkürler, aslında sende bu konuda çok değerli bilgiler var, bu noktadaki paylaşımlarını merakla bende bekliyorum. Malum Hosting tecrübesi çok değerli.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 06/07/2015 16:54

(@okanozbey)
Gönderiler: 1308
Okan ÖZBEY
 

Ziya ek için çok teşekkürler, aslında sende bu konuda çok değerli bilgiler var, bu noktadaki paylaşımlarını merakla bende bekliyorum. Malum Hosting tecrübesi çok değerli.

Rica ederim hocam elimden geldiğince paylaşmaya çalışıyorum. Değerli bilgiler için sizede teşekkürler. 

www.okanozbey.com

 
Gönderildi : 06/07/2015 19:56

(@muratgok)
Gönderiler: 220
Reputable Member
 

hocam merhabalar sertifika konusu acılmışken bir müşterimizde yaşanan cert. sorunundan bahsetmeden gecemedim. 

 app.xxx.com adlı bir site TLS 1.0 destekli bir sertifika mevcut ve güncel. siteye her yerden erişebiliyorum. fakat bahsedilen müşterimizdeki hic bir bilgisayar ilgili sertifikayı yükleyemediği için bağlantı tamamlanmıyor. 

 Bir kaç browser üzerinden denendi. TLS 1.0 bağlantı isteklerini kabul edecek sekilde ie , ff, chrome ayarları normal olduğu görüldü. 

İlgili sertifika başka bir yerden alınıp maneul import edildi . sorun yine aynı.

Bu sorun müşteri tarafındaki bütün client'ların ortak sorunu mudur? Yoksa ilgili site yöneticileri tarafından cozulecek bir sorun mudur.? 

Değerli fikir ve önerileriniz için teşekküerl  

 
Gönderildi : 06/07/2015 20:46

(@okanozbey)
Gönderiler: 1308
Okan ÖZBEY
 

Merhaba, 

Hatayı görebilme imkanımız veya siteyi iletme imkanınız varsa daha güzel olur. 

www.okanozbey.com

 
Gönderildi : 07/07/2015 11:48

(@muratgok)
Gönderiler: 220
Reputable Member
 
Güvenli bağlantı girişimi başarısız
app.dakika.com.tr bağlantısı sırasında bir hata oluştu. Karşı taraf desteklenmeyen bir güvenlik iletişim kuralı kullanıyor. (Hata kodu: ssl_error_unsupported_version)
    Görüntülemeye çalıştığınız sayfa, alınan verilerin yetkinliği doğrulanamadığı için gösterilemiyor.
    Lütfen site yöneticisi ile irtibata geçip durumu bildirin.
 
 
hocam sertifika yüklenemediği için bu hatayı veriyor.  İlgili site yöneticileri de müşterimizdeki bu sorun üzerinde calısıyor su anda. Sizinde fikrinizi almak istedik saygılar .
 
 
Gönderildi : 07/07/2015 11:53

(@okanozbey)
Gönderiler: 1308
Okan ÖZBEY
 

Vermiş olduğunuz link sorunsuz şekilde açılıyor. 

https://www.sslshopper.com/ssl-checker.html#hostname=https://app.dakika.com.tr

Test sonuçlarındada bir problem gözükmüyor, sizde SSL hatasımı çıkıyor şu an da ? Yoksa SSL'imi değiştiniz ?

www.okanozbey.com

 
Gönderildi : 07/07/2015 12:11

(@muratgok)
Gönderiler: 220
Reputable Member
 

Ziya bey 

sertifika sorunu yok evet , zaten müşteri lokasyonu haric diğer yerlerden ilgili siteye erişimde de problem yok.

Fakat sadece bu müşterinin bütün clientlarından bu siteye erişmeye çalıştığımızda bu hata ile karşılaşıyoruz. 

ie 'de sayfaya bağlanılamadı 

ff'da güvenli bağlantı sağlanamdı hatası mevcut. Sertifikayı clientların hiç biri yükleyemiyor.

Saat tarih ayarları , browser ssl, tls ayarlarıda normal . Ama bağlanmıyor.   

 
Gönderildi : 07/07/2015 12:44

(@okanozbey)
Gönderiler: 1308
Okan ÖZBEY
 

Şimdi tam olarak anlaşıldı sorun 🙂 

Muhtemelen Hakan hocamında bahsettiği Root sertifika sisteminden kaynaklanıyor , root sertifikayı veren firma pek yaygın bir firma değil. 

Eğer karşı tarafta bağlantıları kontrol eden firewall tarzı bir cihaz varsa bu root sertifikaya güvenmiyor olabilir veya anti virüs tarzı bir şey varsa buda root sertifikaya güvenmiyor olabilir.  

Ayrıca bilgisayarların updateleri yapılmış mı ve Client işletim sistemleri Windows 7+ 'mı ? 

www.okanozbey.com

 
Gönderildi : 07/07/2015 14:12

(@muratgok)
Gönderiler: 220
Reputable Member
 

karşı taraftan kastımız müşterimi ziya bey ?

Client updateleri normal windows 8.1 hepsi .

ilgili site yoneticileri  fw üzerinden kontrolü sağladı bağlantıların geldiği görünüyor müşteri ip adresinden fakat tamamlanamıyor.?

Müşteri firewall da bir ayar girilmesi gerekir mi bu sertfika için. Ama block'lanan bir log da görünmüyor müşteri tarafında.

Ben x lokasyondaki bir windows makineden root sertfikaları export edip sorun yaşayan müşterideki root sertifikalarla değiştirmem fayda edermi. ?

ilgili sitede root sertifika sorunu olsaydı diğer isteklerde de sorun yaşanmaz mıydı ?   

 

cok soru sordum mazur görün : )

tşkler 

 
Gönderildi : 07/07/2015 14:52

(@okanozbey)
Gönderiler: 1308
Okan ÖZBEY
 

Root sertifikada sorun var demiyorum ben zaten, root sertifika yaygın bir sertifika değil Windows buna güveniyor ancak Linux sunucular buna güvenmeyebilir android buna güvenmeyebilir. Root sertifika ile ilgili demek istediğim buydu. 

Client işletim sistemi kaynaklı olduğunu zannetmiyorum ancak root sertifikayı Trusted Root Certificate Authorities yükeyip kontrol edin tekrardan sonuçta kaybedeceğiniz birşey yok 🙂

Anti-virüs varmı client'larda onları kontrol edermisiniz ?

www.okanozbey.com

 
Gönderildi : 07/07/2015 16:02

(@muratgok)
Gönderiler: 220
Reputable Member
 

anladım ziya bey 

clientlarda mcaffee antivirus kurulu ve devre dışı bırakıp da denedik . bir türlü sertifika yüklenip bağlantıyı tamamlamıyor. 

kok sertifikalarını kontrol ettim benim bilgisayarımla aynı sertifikalar olmasına rağmen burada acmıyor.

 
Gönderildi : 07/07/2015 17:57

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33303
Illustrious Member Yönetici
Konu başlatıcı
 

Merhaba Murat Bey,

Bu siteyi açmayan bir istemcide sertifika chain görüntüleme şansınız oldu mu?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 08/07/2015 23:17

(@muratgok)
Gönderiler: 220
Reputable Member
 

Hakan Hocam 

ilgili site için sorun yaşayan istemcilerde sertifika alınamadığı için sertika chain de görüntülenmiyor.

En belirgin hatayıda firefox tarayıcıda alıyorum.

     app.dakika.com.tr bağlantısı sırasında bir hata oluştu. Karşı taraf desteklenmeyen bir güvenlik iletişim kuralı kullanıyor. (Hata kodu: ssl_error_unsupported_version)

    Görüntülemeye çalıştığınız sayfa, alınan verilerin yetkinliği doğrulanamadığı için gösterilemiyor.
    Lütfen site yöneticisi ile irtibata geçip durumu bildirin.
 
istemcilere ilgili sitenin kök sertifikalarını (Thawte root) yeniden import ettim. Tarayıcıların ssl/tls ayarları ve antivirüs ayarlarıda normal.   Site yöneticileride cok üzerinde durmadı acıkcası. 
 
Hocam
 
bu siteye erişimde ( https://app.dakika.com.tr/payroll) sertifika chainde ara sertfika 1 tane. Bu ara sertifikayı istemciler otomatik install ederek zinciri tamamlaması gerekiyor. Başka erişen istemcilerde ara sertifika dizininde (thawte DV SSL SA-G2) olmadan güvenli bağlantı sağlanıyor.
 
Çözüm olurmu bilmiyorum ama birde istemci ara sertifika dizinine (thawte DV SSL SA-G2) ara sertifikasını maneul ekleyip deneyeceğim.  
 
sorunun hangi tarafta olduğundan da henüz tam emin olamadık. Üzerinde calısmaya devam ediyoruz. 
 
Yardımlarınız için Teşekkürler  
 
Gönderildi : 09/07/2015 13:07

(@muratgok)
Gönderiler: 220
Reputable Member
 

Merhaba 

sorun :

ilgili Thawte Root CA'nın firewall üzerine import edilmesi ile çözülmüştür.

yardımlarınız için teşekkürler

 

 
Gönderildi : 09/07/2015 14:18

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33303
Illustrious Member Yönetici
Konu başlatıcı
 

SSL inspection yaptığınız için firewall un web sitesinin root sertifikasına güvenmesi gerekli, bu durumdan haberimiz yoktu ama 🙂

geri dönüş ve bilgilendirme için teşekkürler. 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 10/07/2015 17:48

Paylaş: