SRG Root X1 CA Sertifika Probleminin Çözümü
Merhabalar,
Bir kök sertifika yetkilisinin (ISRG Root X1) sertifika zinciriyle ilgili devam eden bir sorun tespit edilmiştir. Bu sorun, ister
derin (deep) ister yalnızca sertifika denetimi kullanılıyor olsun, tüm SSL denetim ürünleri satıcılarını etkileyecektir.
Bu makalede 30.09.2021 itibariyle baş gösteren, ISRG Root CA sertifikası kullanan web sitelerindeki sertifika hatasının geçici olarak
FortiGate sistemlerinde nasıl önleneceği anlatılmaktadır.
Daha önceki çözümümüzde geçici olarak SSL/SSH Inspection profilindeki “Expired Certificate” ayarını önermiştik. Fortinet geçen süreç içerisinde bu
sorunu giderebilmek adına sertifika veritabanını güncelledi. Böylece aşağıdaki adımları uygulayarak eski ayarlarımızı yeniden aktif edebiliriz.
Öncelikle FortiGuard sunucularından güncel sertifika veritabanını çektiğimizden emin olmalıyız.
diagnose autoupdate versions | grep -A5 '^Cert'
Eğer version 1.00028 ise güncellenmiş demektir. Eğer güncel değilse aşağıdaki komutla güncellemeyi manuel yapabilirsiniz :
execute update-now
Bu işlemlerin ardından CLI üzerinden aşağıdaki komutları giriyoruz :
config system dns-database
edit "1"
set domain "identrust.com"
set authoritative disable
config dns-entry
edit 1
set hostname "apps"
set ip 127.0.0.1
next
end
next
end
Süresi dolmuş kök CA’ya geri dönmenin mümkün olmadığından emin olmak için, FortiGate’in apps.identrust.com’a erişimini engellemek için DNS karartma özelliğini kullanmamız gerekir.
Bu eğiticiye oy ver
[Total: 1 Average: 5]