Bugünkü yazımızda, web sitelerinin güvenliğini sağlayan ve internet trafiğini şifreleyen Let’s Encrypt sertifikalarında yaklaşan bir değişiklik hakkında konuşacağız. Mayıs 15, 2024 tarihinden sonra verilecek olan Let’s Encrypt sertifikalarının cihaz uyumluluğunu etkileyecek bu güncelleme, özellikle eski cihazları ve sadece çapraz imzalı zincire güvenen sistemleri etkileyecek. Bu değişiklik, web sitelerinizde sertifika doğrulama hatalarına ve kullanıcı erişim sorunlarına neden olabilir.
Bu yazımızda, Let’s Encrypt’in neden bu değişikliği yaptığını, etkilenen cihazları ve sistemleri ve bu değişikliğin nasıl yönetilebileceğini ele alacağız. Ayrıca, bu değişiklikle ilgili dikkat edilmesi gereken tarihleri ve önerileri de paylaşacağız.
Hazırsanız, Let’s Encrypt sertifikalarının geleceği hakkında daha fazla bilgi edinmek için yazımızı okumaya devam edin!
Cloudflare Açıklaması:
Merhaba,
Mayıs 15, 2024 tarihinden sonra verilen Let’s Encrypt sertifikalarının cihaz uyumluluğunu etkileyecek bir değişiklik hakkında sizi bilgilendirmek istiyoruz.
Değişiklik Özeti
Let’s Encrypt iki zincir üzerinden sertifikaları dağıtır: ISRG Root X1 zinciri ve IdenTrust’ın DST Root CA X3 tarafından çapraz imzalanan ISRG Root X1 zinciri. Çapraz imzalı zincir, Let’s Encrypt sertifikalarının geniş çapta güvenilir hale gelmesini sağlarken, saf zincir ise son 3 yılda çeşitli cihazlarla uyumluluk geliştirdi ve ISRG Root X1’e güvenen Android cihazlarının sayısını %66’dan %93.9’a çıkardı.
Let’s Encrypt, çapraz imzalı zincirin 30 Eylül 2024 tarihinde sona ereceğini duyurdu. Bu nedenle, Cloudflare 15 Mayıs 2024 tarihinden itibaren çapraz imzalı CA zincirinden sertifikalar vermeyi durduracaktır.
Etki
Çapraz imzalı zincirin sona ermesi öncelikle eski cihazları (örneğin, Android 7.0 ve öncesi) etkileyecek ve sadece çapraz imzalı zincire güvenen ve güvenlik deposunda ISRG Root X1 zincirini bulundurmayan sistemleri etkileyecektir. Bu değişiklik, bu cihazlarda sertifika doğrulama hatalarına ve kullanıcıların web sitenizi ziyaret ederken uyarı mesajları veya erişim sorunlarına neden olabilir.
Universal SSL, Advanced Certificate Manager veya SSL for SaaS üzerinden verilen sertifikalar üzerindeki etki:
CA’nın sona ermesine hazırlık olarak, 15 Mayıs’tan sonra Cloudflare artık çapraz imzalı zincirden sertifikalar vermeyecektir. 15 Mayıs’tan önce verilen sertifikalar hala çapraz imzalı zincirle birlikte müşterilere sunulacaktır. 15 Mayıs’tan sonra veya sonrasında verilen sertifikalar ise ISRG Root X1 zincirini kullanacaktır. Ayrıca, bu değişiklik sadece RSA sertifikalarını etkiler. Let’s Encrypt tarafından verilen ECDSA sertifikalarını etkilemez. ECDSA sertifikaları, bugün olduğu gibi aynı düzeyde uyumluluğu koruyacaktır.
Özel Sertifikalar aracılığıyla yüklenen sertifikalar üzerindeki etki:
Cloudflare’a yüklenen sertifikalar, Cloudflare’ın en uyumlu ve verimli bulduğu sertifika zinciri ile birlikte sunulur. 15 Mayıs 2024 tarihinden sonra, Cloudflare’a yüklenen tüm Let’s Encrypt sertifikaları, çapraz imzalı zincir yerine ISRG Root X1 zinciri ile birlikte sunulacaktır. 15 Mayıs’tan önce yüklenen sertifikalar, yenilenecek sertifika da bu tarihten itibaren çapraz imzalı zinciri kullanmaya devam edecektir.
Önemli Tarihler
15 Mayıs 2024: Cloudflare, çapraz imzalı CA zincirinden sertifikalar vermeyi durduracaktır. Ayrıca, bu tarihten sonra yüklenen Let’s Encrypt Özel Sertifikaları, çapraz imzalı zincir yerine ISRG X1 zinciri ile sunulacaktır.
30 Eylül 2024: Çapraz imzalı CA zinciri sona erecektir.
Tavsiyeler:
Bu değişikliğin etkisini azaltmak için aşağıdaki adımları atmanızı öneririz:
CA’leri Değiştirme: Müşterilerinizin eski cihazlardan uygulamanıza istek gönderdiğini ve bu değişikliğin onları etkileyeceğini bekliyorsanız, farklı bir sertifika otoritesi kullanmanızı veya tercihinize göre bir sertifika yüklemenizi öneririz.
İzleme: Değişiklik uygulandıktan sonra, sertifika uyarıları veya erişim sorunlarıyla ilgili herhangi bir soruşturma için destek kanallarınızı izlemenizi öneririz.
Güvenlik Deposunu Güncelleme: Uygulamanıza bağlanan istemcileri kontrol ediyorsanız, etkilenmeyi önlemek için güvenlik deposunu güncellemeyi ve ISRG Root X1 zincirini içermeyi öneririz.
Herhangi bir sorunuz varsa, bu değişiklikle ilgili Geliştirici Belgelerimize veya blog yazımıza başvurmanızı öneririz. Kurumsal müşteriyseniz ve ek sorularınız veya endişeleriniz varsa, lütfen Hesap Ekibinize başvurun.