Google Haritalar Platformu Kök CA Taşıma Hakkında SSS

Bu dokümanda aşağıdaki bölümler yer alır:

Devam eden Google kök CA taşıma işlemine daha ayrıntılı bir genel bakış için Neler oluyor? başlıklı makaleyi inceleyin.

Terminoloji

Aşağıda, bu dokümanla ilgili olarak bilmeniz gereken en önemli terimlerin bir listesini bulabilirsiniz. İlgili terminolojiye daha kapsamlı bir genel bakış için lütfen Google Trust Services SSS başlıklı makaleyi inceleyin.

SSL/TLS Sertifikası
Sertifika, şifreleme anahtarını bir kimliğe bağlar.
SSL/TLS sertifikaları, web siteleriyle güvenli bağlantılar kurmak ve kimlik doğrulaması yapmak için kullanılır. Sertifikalar, sertifika yetkilisi olarak bilinen tüzel kişiler tarafından düzenlenir ve kriptografik olarak imzalanır.
Tarayıcılar, iletilen bilgilerin doğru sunucuya gönderildiğinden ve iletim sırasında şifrelendiğinden emin olmak için güvenilir sertifika yetkilileri tarafından verilen sertifikalardan yararlanır.
Güvenli Yuva Katmanı (SSL)
Güvenli Yuva Katmanı, internet iletişimlerini şifrelemek için en yaygın şekilde kullanılan protokoldü. SSL protokolü artık güvenli kabul edilmemektedir ve Google hizmetlerinde artık desteklenmemektedir.
Taşıma Katmanı Güvenliği (TLS)
Taşıma Katmanı Güvenliği, SSL'nin yerini alacak güvenlik protokolüdür.
Sertifika yetkilisi (CA)
Sertifika yetkilisi, cihazlar ve insanlar için dijital bir pasaport ofisi gibidir. Bir varlığın (ör. web sitesi) iddia ettiği kişi olduğunu doğrulamak için kriptografik olarak korunan belgeler (sertifikalar) verir.
CA'ların, sertifika vermeden önce sertifikadaki adların, sertifikayı isteyen kişi veya tüzel kişiyle ilişkili olduğunu doğrulaması gerekir.
Sertifika yetkilisi terimi hem Google Trust Services gibi kuruluşları hem de sertifika veren sistemleri ifade edebilir.
Kök sertifika deposu
Kök sertifika deposu, bir Uygulama Yazılımı Tedarikçisi tarafından güvenilen bir dizi Sertifika Yetkilisi içerir. Çoğu web tarayıcısı ve işletim sisteminin kendi kök sertifika deposu vardır.
Sertifika yetkilisinin, kök sertifika deposuna dahil edilebilmesi için Uygulama Yazılımı Tedarikçisi tarafından belirlenen katı koşulları karşılaması gerekir.
Bu şartlar genellikle CA/Browser Forum şartları gibi sektör standartlarına uygunluğu içerir.
Kök Sertifika Yetkilisi
Kök sertifika yetkilisi (veya daha doğrusu sertifikası), sertifika zincirindeki en üst sertifikadır.
Kök CA sertifikaları genellikle kendinden imzalıdır. Bu anahtarlarla ilişkili özel anahtarlar, son derece güvenli tesislerde saklanır ve yetkisiz erişime karşı korumak için çevrimdışı durumda tutulur.
Ara Sertifika Yetkilisi
Ara Sertifika Yetkilisi (veya daha doğrusu, sertifikası), sertifika zincirindeki diğer sertifikaları imzalamak için kullanılan bir sertifikadır.
Ara CA'lar, temel olarak kök CA sertifikasının çevrimdışı kalmasına izin verirken online sertifika yayınlamayı sağlamak için kullanılır.
Ara CA'lar, bağımlı CA olarak da bilinir.
Sertifika Yetkilisi
Sertifika veren sertifika yetkilisi veya daha doğrusu bu yetkilinin sertifikası, sertifika zincirindeki en alttaki sertifikayı imzalamak için kullanılan sertifikadır.
En altta bulunan bu sertifika genellikle abone sertifikası, son varlık sertifikası veya yaprak sertifika olarak adlandırılır. Bu belgede sunucu sertifikası terimini de kullanacağız.
Sertifika zinciri
Sertifikalar, sertifika veren kuruluşa bağlıdır (kriptografik olarak bu kuruluş tarafından imzalanır). Sertifika zinciri, bir son sertifika, tüm yayıncı sertifikaları ve bir kök sertifikadan oluşur.
Çapraz imzalama
Uygulama Yazılımı Tedarikçilerinin istemcileri, ürünlerinin güvenilir olması için kök sertifika depolarını yeni CA sertifikalarını içerecek şekilde güncellemelidir. Yeni CA sertifikalarını içeren ürünlerin yaygın olarak kullanılması biraz zaman alır.
CA sertifikaları, eski istemcilerle uyumluluğu artırmak için daha eski bir CA tarafından "çapraz imzalanabilir". Bu işlem, aynı kimlik (ad ve anahtar çifti) için ikinci bir CA sertifikası oluşturur.
Kök sertifika deposuna dahil edilen CA'lara bağlı olarak, istemciler güvendikleri bir köke kadar farklı bir sertifika zinciri oluşturur.

Genel bilgiler

Bu konu hakkında bilgi verebilir misiniz?

Büyük resim

Google, 2017'de HTTPS tarafından kullanılan TLS internet güvenliğinin temelini oluşturan kriptografik imzalar olan kendi kök sertifikalarını yayınlamak ve kullanmak için çok yıllık bir proje başlattı.

İlk aşamadan sonra Google Maps Platform hizmetlerinin TLS güvenliği, Google'ın kendi kendine verilen Google Trust Services (GTS) kök CA'larına geçişi kolaylaştırmak için GMO GlobalSign'dan satın aldığı, çok iyi bilinen ve yaygın olarak güvenilen bir kök sertifika yetkilisi (CA) olan GS Root R2 tarafından garanti edildi.

Neredeyse tüm TLS istemcileri (ör. web tarayıcıları, akıllı telefonlar ve uygulama sunucuları) bu kök sertifikaya güvendi ve bu nedenle taşıma işleminin ilk aşamasında Google Haritalar Platformu sunucularıyla güvenli bir bağlantı kurabildi.

Ancak bir CA, tasarım gereği kendi sertifikasının geçerlilik bitiş süresinden sonra geçerli olan sertifikalar yayınlayamaz. GS Root R2'nin süresi 15 Aralık 2021'de dolduğu için Google, kendi hizmetlerini Google'ın kendi kök CA'sı GTS Root R1 tarafından verilen bir sertifika kullanarak yeni bir CA'ya (GTS Root R1 Cross) taşıdı.

Modern işletim sistemlerinin ve TLS istemci kitaplıklarının büyük çoğunluğu GTS kök CA'larına zaten güveniyor olsa da Google, eski sistemlerin çoğunda sorunsuz bir geçiş sağlamak için şu anda mevcut olan en eski ve en güvenilir kök CA'lardan biri olan GlobalSign Root CA - R1'i kullanarak GMO GlobalSign'dan çapraz imza almıştır.

Bu nedenle, çoğu müşterinin Google Haritalar Platformu istemcileri bu güvenilir kök CA'lardan birini (veya ikisini birden) zaten tanımalıdır ve taşıma işleminin ikinci aşamasından tamamen etkilenmemiştir.

Bu durum, 2018'deki taşıma işleminin ilk aşamasında işlem yapan müşteriler için de geçerlidir. Bu müşterilerin, güvenilir Google kök CA paketimizdeki tüm sertifikaları yüklemek için talimatlarımızı uyguladıkları varsayılır.

Google Haritalar Platformu hizmetlerine bağlanırken sorun yaşıyorsanız aşağıdakiler geçerliyse sistemlerinizi doğrulamanız gerekir:

  • Hizmetleriniz standart olmayan veya eski platformlarda çalışıyorsa ve/veya kendi kök sertifika deponuzu yönetiyorsanız
  • Google'ın kök CA taşıma işleminin ilk aşamasında (2017-2018) herhangi bir işlem yapmadıysanız veya güvenilir Google kök CA paketindeki tüm sertifikaları yüklemediyseniz

Yukarıdaki durum sizin için geçerliyse taşıma işleminin bu aşamasında Google Haritalar Platformu'nun kesintisiz şekilde kullanılabilmesi için istemcilerinizin önerilen kök sertifikalarla güncellenmesi gerekebilir.

Daha fazla teknik ayrıntı için aşağıya bakın. Genel talimatlar için lütfen Kök sertifika depomun güncellenmesi gerekip gerekmediğini doğrulama bölümüne bakın.

Ayrıca, hizmetlerinizi gelecekteki kök CA değişikliklerine karşı korumak için kök sertifika depolarınızı yukarıdaki özelleştirilmiş kök CA paketiyle senkronize tutmaya devam etmenizi öneririz. Ancak bu değişiklikler önceden duyurulacaktır. Gelişmelerden haberdar olma hakkında daha fazla talimat için Bu taşıma aşamasıyla ilgili güncellemeler nasıl alırım? ve Gelecekteki taşıma işlemleriyle ilgili önceden bildirim nasıl alabilirim? bölümlerine bakın.

Teknik özet

15 Mart 2021'de Google Güvenlik Blogu'nda duyurulduğu gibi, 2018'in başlarından beri kullanılan kök CA Google Haritalar Platformu olan GS Root R2'nin süresi 15 Aralık 2021'de doldu. Bu nedenle Google, yeni verilen bir CA GTS Root R1 Cross'a taşınacak.

Modern TLS istemcilerinin ve sistemlerinin neredeyse tamamı GTS Root R1 sertifikasıyla önceden yapılandırılmıştır veya bu sertifikayı normal yazılım güncellemeleri aracılığıyla almalıdır. GlobalSign Root CA - R1, eski sistemlerde bile kullanılabilir.

Ancak aşağıdaki noktaların ikisi de geçerliyse en azından sistemlerinizi doğrulamanız gerekir:

  • Hizmetleriniz standart olmayan veya eski platformlarda çalışıyorsa ve/veya kendi kök sertifika deponuzu yönetiyorsanız
  • Google'ın kök CA taşıma işleminin ilk aşamasında (2017-2018) herhangi bir işlem yapmadıysanız veya güvenilir Google kök CA paketindeki tüm sertifikaları yüklemediyseniz

Kök sertifika depomun güncellenmesi gerekip gerekmediğini doğrulama bölümünde, sisteminizin etkilenip etkilenmeyeceğini test etmeyle ilgili genel bilgiler verilmektedir.

Ayrıntılar için Kök sertifika depomu neden güvenilir Google kök CA paketiyle senkronize tutmalıyım? başlıklı soruya bakın.

Bu taşıma aşamasıyla ilgili güncellemeleri nasıl alırım?

Güncellemeler için herkese açık 186840968 kimlikli sorunu işaretleyin. Bu SSS, taşıma işlemi sırasında herkese ilgi çekici olabilecek konularla karşılaştığımızda da güncellenir.

Gelecekteki taşıma işlemleriyle ilgili önceden bildirim alabilir miyim?

Google Güvenlik Blogu'nu takip etmenizi öneririz. Ayrıca, blogda duyuru yapıldıktan sonra ürüne özgü dokümanları en kısa sürede güncellemeye çalışacağız.

Forumda daha fazla müşteriyi etkileyebilecek değişikliklerle ilgili güncellemeleri düzenli olarak yayınladığımız için lütfen Google Haritalar Platformu Bildirimleri'ne de abone olun.

Birden fazla Google hizmeti kullanıyoruz. Kök CA taşıma işlemi bunların tümünü etkiler mi?

Evet, kök CA taşıma işlemi tüm Google hizmetlerinde ve API'lerinde gerçekleşecek ancak zaman çizelgesi hizmete göre değişiklik gösterebilir. Ancak Google Maps Platform istemci uygulamalarınızın kullandığı kök sertifika depolarının güvenilir Google kök CA paketinde listelenen tüm CA'ları içerdiğini doğruladıktan sonra hizmetleriniz devam eden taşıma işleminden etkilenmez. Ayrıca, bu depoları senkronize tutmak sizi gelecekteki kök CA değişikliklerine karşı da korur.

Daha fazla bilgi için Kök sertifika depomu güvenilir Google kök CA paketiyle senkronize tutmam neden gerekli? ve Hangi tür uygulamalar çalışmayı durdurma riski altında? sorularını inceleyin.

Aşağıdaki Kök sertifika depomun güncellenmesi gerekip gerekmediğini doğrulama bölümünde, sisteminizi test etmeyle ilgili genel talimatlar da verilmiştir.

Kök sertifika depomun güncellenmesi gerekip gerekmediğini doğrulama

Uygulama ortamınızı aşağıda listelenen test uç noktalarına göre test edin:

  • GTS Root R1 çapraz test uç noktası ile TLS bağlantısı kurabiliyorsanız GS Root R2'nin süresi dolması bu durumdan etkilenmenize neden olmaz.
  • GTS Root R1 test uç noktası ile TLS bağlantısı kurabiliyorsanız uygulamanız muhtemelen 2028'de GTS Root R1 Cross ve GlobalSign Root CA - R1'in geçerlilik süresinin sona ermesinden etkilenmeyecektir.

Sisteminiz genellikle aşağıdaki durumlarda bu kök CA değişikliğiyle uyumlu olur:

  • Hizmetiniz, bakımı yapılan yaygın bir işletim sisteminde çalışıyorsa ve hem işletim sistemini hem de hizmetinizin kullandığı kitaplıkları güncel tutmuşsanız ve kendi kök sertifika deponuzu bakıma almıyorsanız veya:
  • Önceki önerilerimizi uygulayıp güvenilir Google kök CA paketindeki tüm kök CA'ları yüklediyseniz

Bu durumdan etkilenmiş olabilecek müşterilerin, gelecekte hizmet kesintilerinin yaşanmaması için güvenilir Google kök CA paketindeki sertifikaları hemen yüklemesi gerekir.

Ayrıntılar için Kök sertifika depomu neden güvenilir Google kök CA paketiyle senkronize tutmalıyım? başlıklı soruya bakın.

Kök sertifika depomuzu doğrulamak için kullanabileceğim basit bir araç var mı?

İncelemelerinizde curl ve openssl adlı iki komut satırı aracından yararlanabilirsiniz. Her ikisi de çoğu platformda kullanılabilir ve kurulumunuzu test etmek için kapsamlı seçenekler sunar.

curl değerini alma talimatları için aşağıdaki curl'i alma bölümüne bakın.

Aşağıda gösterilen openssl komutları 1.1.1 veya sonraki sürümler içindir. 1.1.1'den önceki sürümler desteklenmemektedir. Daha eski bir sürümü kullanıyorsanız bu komutları sürümünüze göre yükseltin veya değiştirin. openssl'ü edinmeyle ilgili talimatlar için aşağıdaki OpenSSL'i edinme bölümüne bakın.

Ayrıca, aşağıda İhtiyacım olan araçları nereden edinebilirim? bölümünde daha fazla faydalı araç bulabilirsiniz.

Belirli test talimatları için lütfen Kök sertifika depomun güncellenmesi gerekip gerekmediğini doğrulama bölümüne bakın.

Varsayılan kök sertifika deponuzu test etme

curl -vvI https://maps.googleapis.com; \
openssl s_client -connect maps.googleapis.com:443 -showcerts </dev/null; \
curl -vvI https://good.gtsr1.demosite.pki.goog/; \
openssl s_client -connect good.gtsr1.demosite.pki.goog:443 -showcerts </dev/null; \
curl -vvI https://good.gtsr1x.demosite.pki.goog/; \
openssl s_client -connect good.gtsr1x.demosite.pki.goog:443 -showcerts </dev/null;

Güvenilir Google kök CA paketini doğrulama

Güvenilir Google kök CA paketini indirin ve aşağıdaki adımları uygulayın:

curl -vvI --cacert roots.pem https://maps.googleapis.com; \
openssl s_client -CAfile roots.pem -connect maps.googleapis.com:443 -showcerts </dev/null; \
curl -vvI --cacert roots.pem https://good.gtsr1.demosite.pki.goog/; \
openssl s_client -CAfile roots.pem -connect good.gtsr1.demosite.pki.goog:443 -showcerts </dev/null; \
curl -vvI --cacert roots.pem https://good.gtsr1x.demosite.pki.goog/; \
openssl s_client -CAfile roots.pem -connect good.gtsr1x.demosite.pki.goog:443 -showcerts </dev/null;

Google kök CA taşıma işlemi nasıl ve ne zaman devam edecek?

  1. Ocak 2017'de duyurulan ilk aşama (GS Root R2'ye geçiş), 2017'nin sonlarında başladı ve 2018'in ilk yarısında tamamlandı.
  2. İkinci aşama (GTS Root R1 Cross'a geçiş) Mart 2021'de duyuruldu ve 15 Aralık 2021'de GS Root R2'nin geçerlilik süresinin sona ermesinden önceki aylarda kullanıma sunuldu.

Sonraki taşıma aşamalarının programları, gelecekteki sertifika sürelerinin sona ermesinden çok önce duyurulacaktır.

Ancak kök sertifika deponuzu güvenilir Google kök CA paketindeki seçili kök CA listesiyle senkronize tutarsanız uygulamalarınızı geleceğe hazır hale getirebilirsiniz.

Daha fazla bilgi için Kök sertifika depomu neden güvenilir Google kök CA paketiyle senkronize tutmalıyım? sorusuna da bakın.

Her Google hizmeti için genel kullanıma sunma planı

  1. Aşamalı kullanıma sunum, tek bir veri merkezinde başlar.
  2. Özellik, dünya genelinde kullanıma sunuluncaya kadar kademeli olarak daha fazla veri merkezine eklenir.
  3. Herhangi bir aşamada ciddi sorunlar tespit edilirse sorunlar giderilirken testler geçici olarak geri alınabilir.
  4. Önceki iterasyonlardan alınan geri bildirimlere göre, tüm Google hizmetleri yeni sertifikalara taşınana kadar kullanıma sunma sürecine daha fazla Google hizmeti dahil edilir.

Kimler, ne zaman ve nerede etkilenecek?

Yeni veri merkezlerine geçiş yapıldıkça Google Haritalar Platformu geliştiricilerinin giderek daha fazlası yeni sertifikaları almaya başlayacak. İstemci istekleri coğrafi olarak yakın veri merkezlerindeki sunuculara yönlendirildiğinden, değişiklikler bir dereceye kadar yerelleştirilecektir.

Bu durumdan kimlerin, ne zaman ve nerede etkileneceğini önceden kesin olarak söyleyemediğimiz için tüm müşterilerimizin, olası Google kök CA taşıma aşamalarından çok daha önce hizmetlerini doğrulamalarını ve gelecekte sorun yaşamamaları için gerekli önlemleri almalarını öneririz.

Daha fazla bilgi için Kök sertifika depomun güncellenmesi gerekip gerekmediğini nasıl doğrulayabilirim? bölümüne bakın.

Dikkat etmeniz gerekenler

Gerekli kök sertifikayla yapılandırılmamış istemciler, Google Haritalar Platformu ile olan TLS bağlantılarını doğrulayamaz. Bu durumda, istemciler genellikle sertifika doğrulamasının başarısız olduğuyla ilgili bir uyarı verir.

İstemciler, TLS yapılandırmalarına bağlı olarak Google Haritalar Platformu isteği göndermeye devam edebilir veya isteği göndermeyi reddedebilir.

Bir TLS istemcisinin Google Haritalar Platformu ile iletişim kurması için gereken minimum koşullar nelerdir?

Google Haritalar Platformu sertifikalarında DNS Özne Alternatif Adları (SAN'lar) kullanılır. Bu nedenle, istemcinin sertifika işleme özelliği, addaki en soldaki etiket olarak tek bir joker karakter (ör. *.googleapis.com) içerebilecek SAN'ları desteklemelidir.

Eski TLS 1.0 ve 1.1 sürümleri hâlâ desteklenmesine rağmen bunların kullanılmamasını ve mümkünse TLS 1.3'ün kullanılmasını öneririz.

Diğer şartlar ve öneriler için lütfen GTS SSS bölümündeki TLS istemcisinin Google ile iletişim kurması için önerilen şartlar nelerdir? ve Birçok Google Hizmeti neden hâlâ TLS 1.0 ve TLS 1.1 kullanan bağlantılara izin veriyor? bölümlerine bakın.

Hangi tür uygulamalar çalışmama riski altında?

Uygulama, geliştirici tarafından uygulanan kısıtlamalar olmadan sistem kök sertifikaları deposunu kullanıyor

Google Haritalar Platformu web hizmeti uygulamaları

Hâlâ destekleniyor ve düzenli güncellemeler alıyor olan yaygın bir işletim sistemi kullanıyorsanız varsayılan kök sertifika deponuz zaten GTS Root R1 sertifikasını içermelidir.

Artık güncelleme almayan eski bir işletim sistemi sürümü kullanıyorsanız GTS Root R1 sertifikasına sahip olabilirsiniz veya olmayabilirsiniz. Ancak kök sertifika deponuzda büyük olasılıkla en eski ve en yaygın olarak güvenilen kök CA'lardan biri olan GlobalSign Root CA - R1 bulunur.

Google Haritalar Platformu web hizmetlerini doğrudan son kullanıcı cihazından çağıran mobil uygulamalar için Mobil uygulamalarda çalışmama riski var mı? sorusundaki yönergeler geçerlidir.

İstemci tarafı Google Haritalar Platformu uygulamaları

Maps JavaScript API uygulamaları genellikle uygulamayı çalıştıran web tarayıcısının kök sertifikalarını kullanır. Daha fazla bilgi için JavaScript uygulamalarının çalışmama riski var mı? bölümüne bakın.

Android için Haritalar SDK'sı, iOS için Haritalar SDK'sı, Android için Yerler SDK'sı veya iOS için Yerler SDK'sından herhangi birini kullanan yerel mobil uygulamalar için Google Haritalar Platformu web hizmetlerini çağıran uygulamalarla aynı kurallar geçerlidir.

Daha fazla bilgi için Mobil uygulamalar çalışmama riski altında mı? başlıklı soruya bakın.

Uygulama kendi sertifika paketini kullanıyor veya sertifika sabitleme gibi gelişmiş güvenlik özelliklerini kullanıyor

Sertifika paketinizi kendiniz güncellemeniz gerekir. Kök sertifika depomu güvenilir Google kök CA paketiyle senkronize tutmalı mıyım? sorusuyla ilgili olarak da belirtildiği gibi, güvenilir Google kök CA paketindeki tüm sertifikaları kendi kök sertifika deponuza içe aktarmanızı öneririz.

Uygulamanızın bağlandığı Google alanlarının sertifikalarını veya herkese açık anahtarlarını sabitliyorsanız sertifikaları ve herkese açık anahtarları uygulamanızdaki güvenilir varlıklar listesine eklemeniz gerekir.

Sertifika veya herkese açık anahtar sabitleme hakkında daha fazla bilgi için Daha fazla bilgi edinmek ister misiniz? sorusunun altında listelenen harici kaynaklara bakın.

Kök sertifika depomu neden güvenilir Google kök CA paketiyle senkronize tutmalıyım?

Güvenilir Google kök CA paketindeki kök CA'ların özel olarak seçilmiş listesi, yakın gelecekte Google hizmetleri tarafından kullanılabilecek tüm CA'ları içerir.

Bu nedenle, sisteminizin gelecekte de sorunsuz çalışmasını istiyorsanız kök sertifika deponuzun paketteki tüm sertifikaları içerdiğini doğrulamanızı ve bu ikisini senkronize tutmayı alışkanlık haline getirmenizi önemle tavsiye ederiz.

Bu, özellikle hizmetleriniz bakıma alınmayan bir işletim sistemi sürümünde çalışıyorsa, işletim sisteminizi ve kitaplıklarınızı başka nedenlerle güncel tutamıyorsanız veya kendi kök sertifika deponuzu yönetiyorsanız önemlidir.

Gelecekteki kök CA taşıma işlemleriyle ilgili güncellemeleri nasıl alacağınızı öğrenmek için Gelecekteki taşıma işlemleriyle ilgili nasıl önceden bildirim alabilirim? başlıklı soruya bakın. Kök sertifika deponuzu, seçili listeyle düzenli olarak senkronize tutmak, hizmetlerinizi CA değişiklikleri nedeniyle gelecekte yaşanabilecek hizmet kesintilerine karşı korur ve hizmetlerinizin hem GTS Root R1 Cross hem de GlobalSign Root CA - R1'in geçerlilik süresinin sona ermesinden sonra çalışmaya devam etmesini sağlar.

Ayrıca lütfen Google hizmetlerine bağlanan bir ürün geliştiriyorum. Hangi CA sertifikalarına güvenmem gerekiyor? bölümünden daha fazla öneri edinebilirsiniz.

Neden son veya ara CA sertifikaları yüklememeliyim?

Bunu yaparsanız yeni bir sertifika kaydettiğimizde veya ara CA'yı değiştirdiğimizde uygulamanızın bozulma riski ortaya çıkar. Bu iki işlemden herhangi biri herhangi bir zamanda ve önceden haber verilmeksizin gerçekleşebilir. Bu durum, maps.googleapis.com tarafından sunulanlar gibi tekil sunucu sertifikaları ve GTS Root R1 Cross gibi tüm ara CA'larımız için eşit şekilde geçerlidir.

Hizmetlerinizi bu tür saldırılara karşı korumak için yalnızca güvenilir Google kök CA paketindeki kök sertifikaları yüklemeniz ve kendisine bağlı sertifika zincirinin tamamının güvenilirliğini doğrulamak için yalnızca kök sertifikayı kullanmanız gerekir.

Kök sertifika yetkilisine güvenildiği sürece, modern TLS kitaplığı uygulamaları bu tür güven zincirlerini otomatik olarak doğrulayabilir.

JavaScript uygulamaları bozulma riski altında mı?

GTS kök sertifikaları, modern tarayıcıların çoğu tarafından zaten iyi bir şekilde yerleştirilmiş ve güvenilirdir. GMO GlobalSign'ın çapraz imzalaması, eski tarayıcılardaki çoğu son kullanıcı için bile sorunsuz bir geçiş sağlayacaktır. Maps JavaScript API için resmi olarak desteklenen tüm tarayıcılar bu kapsamdadır.

Her modern tarayıcı, son kullanıcıların tarayıcının güvendiği sertifikaları doğrulamasına ve genellikle düzenlemesine izin vermelidir. Tam konum her tarayıcıda farklı olsa da sertifika listesini genellikle Ayarlar bölümünde bulabilirsiniz.

Mobil uygulamalar çalışmayı durdurabilir mi?

Cihaz üreticisinden düzenli olarak güncelleme almaya devam eden Android ve Apple iOS cihazların da gelecekte sorunsuz çalışacağı beklenir. Eski Android telefon modellerinin çoğu en azından GlobalSign Root CA - R1 sertifikasını içerir. Ancak güvenilir sertifika listesi cep telefonu üreticisine, cihaz modeline ve Android sürümüne göre değişiklik gösterebilir.

Ancak GTS Root R1 dahil olmak üzere GTS kök CA'ları için destek, Android 10'dan önceki sürümlerde sınırlı olabilir.

Apple, iOS cihazlar için destek sayfalarında son iOS sürümlerinin her biri için güvenilir kök CA'ların listesini tutar. Ancak 5 ve sonraki tüm iOS sürümleri GlobalSign Root CA - R1'i destekler.

GTS Root R1 dahil GTS kök CA'ları, iOS 12.1.3 sürümünden beri desteklenmektedir.

Daha fazla bilgi için Mobil telefonumdaki güvenilir kök sertifikalarını nasıl kontrol edebilirim? başlıklı soruya bakın.

Tarayıcım veya işletim sistemim Google Trust Services kök sertifikalarını ne zaman içerecek?

Google, son yıllarda yaygın olarak kullanılan ve güvenilir kök sertifika paketlerini korumak için tüm büyük üçüncü taraflarla yoğun bir şekilde çalışmıştır. Apple ve Microsoft gibi işletim sistemi üreticilerinin yanı sıra Google'ın kendi Android ve ChromeOS ekipleri, Mozilla, Apple, Microsoft gibi tarayıcı geliştiricilerin yanı sıra Google'ın kendi Chrome ekibi, telefon, set üstü kutu, TV, oyun konsolu, yazıcı gibi donanım üreticileri bu örneklerden bazılarıdır.

Bu nedenle, şu anda bakımı yapılan sistemlerin GTS Root R1 dahil olmak üzere Google'ın yeni GTS Root CA'larını desteklemesi ve hatta eski sistemlerin bile önümüzdeki yıllarda Google tarafından verilen sertifikaların çapraz imzalanması için kullanılacak GlobalSign Root CA - R1'i desteklemesi oldukça olasıdır.

Ancak üçüncü taraf sertifikalarının dahil edilme zaman çizelgeleri büyük ölçüde Google'ın kontrolü dışında olduğundan, verebileceğimiz en iyi genel tavsiye, mevcut sistem güncellemelerini düzenli olarak uygulamanızdır.

Mozilla'nın CA Sertifikası Programı gibi belirli üçüncü taraflar, sertifika dahil etme zaman çizelgelerini belgelemiş olabilir.

Sorun giderme

İhtiyacım olan araçları nereden edinebilirim?

curl'i kullanma

İşletim sisteminizin dağıtımında curl yoksa https://curl.haxx.se/ adresinden indirebilirsiniz. Kaynağı indirip aracı kendiniz derleyebilir veya platformunuz için mevcutsa önceden derlenmiş bir ikili dosyayı indirebilirsiniz.

OpenSSL'i edinme

OS dağıtımınız openssl sağlamazsa kaynağı https://www.openssl.org/ adresinden indirip aracı derleyebilirsiniz. Üçüncü taraflarca derlenen ikili dosyaların listesini https://www.openssl.org/community/binaries.html adresinde bulabilirsiniz. Ancak bu derlemelerin hiçbiri OpenSSL ekibi tarafından desteklenmez veya herhangi bir şekilde onaylanmamaktadır.

Wireshark, Tshark veya Tcpdump'i edinme

Çoğu Linux dağıtımı wireshark, komut satırı aracı tshark ve tcpdump'yi sunsa da ilk ikisinin diğer işletim sistemleri için önceden derlenmiş sürümlerini https://www.wireshark.org adresinde bulabilirsiniz.

Tcpdump ve LibPCAP'nin kaynak koduna https://www.tcpdump.org adresinden ulaşabilirsiniz.

Bu yararlı araçların belgelerini sırasıyla Wireshark Kullanıcı Kılavuzu, Tshark man sayfası ve Tcpdump man sayfasında bulabilirsiniz.

Java Keytool'u edinme

keytool komut satırı aracı, her Java Development Kit (JDK) veya Java Runtime Environment (JRE) sürümüyle birlikte gönderilir. keytool. almak için bunları yükleyin. Ancak uygulamanız Java kullanılarak oluşturulmadığı sürece kök sertifika doğrulaması için keytool kullanılması gerekmez.

Üretimde kesinti olduğunda yapılması gerekenler

Yapmanız gereken ilk işlem, güvenilir Google kök CA paketindeki gerekli kök sertifikaları, uygulamanızın kullandığı kök sertifika deposuna yüklemektir.

  1. Yerel kök sertifika deponuzu yükseltmek için sistem yöneticilerinizle birlikte çalışın.
  2. Sisteminiz için geçerli ipuçları için bu SSS'ye göz atın.
  3. Platforma veya sisteme özgü başka bir yardıma ihtiyacınız olursa sistem sağlayıcınızın sunduğu teknik destek kanallarıyla iletişime geçin.
  4. Genel yardım için Google Haritalar Platformu Destek Ekibi ile iletişime geçme bölümünde açıklandığı gibi destek ekibimizle iletişime geçin. Not: Platforma özgü sorunlarla ilgili olarak yalnızca en iyi şekilde yardım sağlanır.
  5. Taşımayla ilgili daha fazla güncelleme için herkese açık 186840968 kimlikli sorunu işaretleyin.

Google Haritalar Platformu Destek Ekibi ile iletişime geçme

İlk sorun giderme

Genel sorun giderme talimatları için Kök sertifika depomun güncellenmesi gerekip gerekmediğini doğrulama bölümüne bakın.

Kök sertifikalarını içe veya dışa aktarmanız gerekiyorsa Güvenilir sertifikalarınızı yönetme bölümü de değerli bilgiler sağlayabilir.

Sorun çözülmezse ve Google Haritalar Platformu Destek Ekibi ile iletişime geçmeye karar verirseniz aşağıdaki bilgileri de paylaşmaya hazır olun:

  1. Etkilenen sunucularınız nerede bulunuyor?
  2. Hizmetiniz hangi Google IP adreslerini çağırıyor?
  3. Bu sorundan hangi API'ler etkileniyor?
  4. Sorun tam olarak ne zaman başladı?

  5. Aşağıdaki komutların çıkışları:

    curl -vvI https://maps.googleapis.com; \
openssl s_client -connect maps.googleapis.com:443 -showcerts </dev/null; \
curl -vvI https://good.gtsr1.demosite.pki.goog/; \
openssl s_client -connect good.gtsr1.demosite.pki.goog:443 -showcerts </dev/null; \
curl -vvI https://good.gtsr1x.demosite.pki.goog/; \
openssl s_client -connect good.gtsr1x.demosite.pki.goog:443 -showcerts </dev/null;

Gerekli araçları alma talimatları için İhtiyacım olan araçları nereden alabilirim? başlıklı soruya bakın.

Destek yazışması oluşturma

Lütfen Google Haritalar Platformu Destek ve Kaynakları bölümündeki Destek kaydı oluşturma talimatlarını uygulayın.

Destek kaydı oluştururken İlk sorun giderme bölümünde listelenen verilere ek olarak lütfen aşağıdakileri de sağlayın:

  • Herkese açık IP adresleriniz nedir?
  • DNS sunucunuzun herkese açık IP adresi nedir?
  • Mümkünse https://maps.googleapis.com/ ile başarısız TLS pazarlığının PCAP biçiminde tcpdump veya Wireshark paket yakalaması.Paketin tamamını kısaltmadan yakalamak için yeterince büyük bir anlık görüntü uzunluğu kullanılmalıdır (ör. tcpdump'nin eski sürümlerinde -s0 kullanılmalıdır).
  • Mümkünse hizmetinizden, TLS bağlantısı başarısızlığının tam nedenini gösteren günlük özetleri (tercihen tam sunucu sertifikası zinciri bilgileriyle birlikte)

Gerekli araçları alma talimatları için İhtiyacım olan araçları nereden alabilirim? başlıklı soruya bakın.

186840968 numaralı herkese açık sorun hakkında yayın

Herkese açık 186840968 numaralı sorunla ilgili yorum gönderirken lütfen İlk sorun giderme bölümünde listelenen bilgileri ekleyin.

DNS'min herkese açık adresini nasıl öğrenebilirim?

Linux'da aşağıdaki komutu çalıştırabilirsiniz:

dig -t txt o-o.myaddr.l.google.com

Windows'ta nslookup'u etkileşimli modda kullanabilirsiniz:

C:\> nslookup -
set type=TXT
o-o.myaddr.l.google.com

curl çıkışını yorumlama

curl-vvI işaretleriyle çalıştırmak çok faydalı bilgiler sağlar. Çıktıyı yorumlamayla ilgili birkaç talimatı aşağıda bulabilirsiniz:

  • "*" ile başlayan satırlar, TLS pazarlığıyla ilgili çıkışın yanı sıra bağlantıyı sonlandırma bilgilerini gösterir.
  • ">" ile başlayan satırlar, curl tarafından gönderilen giden HTTP isteğini gösterir.
  • "<" ile başlayan satırlar, sunucudan aldığı HTTP yanıtını gösterir.
  • Protokol HTTPS ise ">" veya "<" satırlarının bulunması başarılı bir TLS el sıkışmasını gösterir.

Kullanılan TLS kitaplığı ve kök sertifika paketi

curl komutunu -vvI işaretleriyle çalıştırmak, kullanılan kök sertifika deposunu da yazdırır ancak tam çıkış, burada gösterildiği gibi sistemden sisteme değişiklik gösterebilir.

curl'nin NSS'ye bağlı olduğu bir Red Hat Linux makinesinden alınan çıkış şu satırları içerebilir:

* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none

Ubuntu veya Debian Linux makinesinin çıkışı şu satırları içerebilir:

* successfully set certificate verify locations:
* CAfile: none
  CApath: /etc/ssl/certs

--cacert işaretçisi kullanılarak verilen Google kök sertifikası PEM dosyasını kullanan bir Ubuntu veya Debian Linux makinesinden alınan çıkış şu satırları içerebilir:

* successfully set certificate verify locations:
* CAfile: /home/<user>/Downloads/roots.pem
  CApath: /etc/ssl/certs

Kullanıcı aracısı

Giden istekler, curl ve sisteminizle ilgili yararlı bilgiler sağlayabilecek User-Agent başlığını içerir.

Red Hat Linux makinesindeki bir örnek:

> HEAD / HTTP/1.1
> User-Agent: curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.27.1 zlib/1.2.3 libidn/1.18 libssh1/1.4.2
> Host: maps.googleapis.com
> Accept: */*
>

TLS el sıkışma hatası

Bu kod örneğindekiler gibi satırlar, bağlantının güvenilmeyen bir sunucu sertifikası nedeniyle TLS el sıkışması sırasında sonlandırıldığını gösterir. > veya < ile başlayan hata ayıklama çıkışının olmaması da başarısız bir bağlantı denemesinin güçlü göstergeleridir:

*** SSLv3, TLS alert, Server hello (2):
* SSL certificate problem: unable to get local issuer certificate
* Closing connection 0**

Başarılı TLS el sıkışması

Başarılı bir TLS el sıkışması, bu kod örneğindekilere benzer görünümlü satırların varlığıyla gösterilir. Şifrelenmiş bağlantı için kullanılan şifre paketi ve kabul edilen sunucu sertifikasının ayrıntıları listelenmelidir. Ayrıca, > veya < ile başlayan satırların varlığı, yükü HTTP trafiğinin TLS şifrelenmiş bağlantı üzerinden başarıyla iletildiğini gösterir:

*   Trying 108.177.15.95:443...
* Connected to maps.googleapis.com (108.177.15.95) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use h2
* Server certificate:
*  subject: C=US; ST=California; L=Mountain View; O=Google LLC; CN=upload.video.google.com
*  start date: Mar 23 08:24:47 2021 GMT
*  expire date: Jun 15 08:24:46 2021 GMT
*  subjectAltName: host "maps.googleapis.com" matched cert's "*.googleapis.com"
*  issuer: C=US; O=Google Trust Services; CN=GTS CA 1O1
*  SSL certificate verify ok.
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x55c4acf0c560)
> HEAD / HTTP/2
> Host: maps.googleapis.com
> user-agent: curl/7.74.0
> accept: */*
>
> HTTP/2 302
…

Alınan sunucu sertifikalarını insan tarafından okunabilir biçimde yazdırma

Çıktının PEM biçiminde olduğunu varsayarak (ör. openssl s_client -connect maps.googleapis.com:443 -showcerts </dev/null'ten gelen çıktı), aşağıdaki adımları uygulayarak sunulan sertifikayı yazdırabilirsiniz:

  • Başlık ve altbilgi dahil olmak üzere Base64 kodlu sertifikanın tamamını kopyalayın:

    -----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----

  • Ardından şunları yapın:

    openssl x509 -inform pem -noout -text
````

  • Ardından, kopya tamponunuzun içeriğini terminale yapıştırın.

  • Return tuşuna basın.

Örnek giriş ve çıkış için PEM sertifikalarını kullanıcı tarafından okunabilir biçimde yazdırma bölümüne bakın.

OpenSSL'de çapraz imzalı Google sertifikaları nasıl görünür?

…
---
Certificate chain
 0 s:C = US, ST = California, L = Mountain View, O = Google LLC, CN = good.gtsr1x.demosite.pki.goog
   i:C = US, O = Google Trust Services LLC, CN = GTS Y1
-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----
 1 s:C = US, O = Google Trust Services LLC, CN = GTS Y1
   i:C = US, O = Google Trust Services LLC, CN = GTS Root R1
-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----
2 s:C = US, O = Google Trust Services LLC, CN = GTS Root R1
   i:C = BE, O = GlobalSign nv-sa, OU = Root CA, CN = GlobalSign Root CA
-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----
---
Server certificate
subject=C = US, ST = California, L = Mountain View, O = Google LLC, CN = good.gtsr1x.demosite.pki.goog

issuer=C = US, O = Google Trust Services LLC, CN = GTS Y1

---
…

Güvenilir sertifikalarınızı yönetme

Güvenilir kök sertifikalarını cep telefonumda nasıl kontrol edebilirim?

Android'de güvenilen sertifikalar

Mobil uygulamalar bozulma riski altında mı? sorusunda belirtildiği gibi, Android 4.0 sürümünden bu yana cep telefonu kullanıcılarının Ayarlar bölümündeki güvenilir sertifika listesini doğrulamalarına izin verilmektedir. Bu tabloda, Ayarlar menüsünün tam yolu gösterilmektedir:

Android sürümü Menü yolu
1.x, 2.x, 3.x Yok
4.x, 5.x, 6.x, 7.x Ayarlar > Güvenlik > Güvenilir kimlik bilgileri
8.x, 9 Ayarlar > Güvenlik ve Konum > Şifreleme ve kimlik bilgileri > Güvenilir kimlik bilgileri
10+ Ayarlar > Güvenlik > Gelişmiş > Şifreleme ve kimlik bilgileri > Güvenilir kimlik bilgileri

Bu tabloda, şu anda mevcut Android sanal cihaz (AVD) sistem görüntüleri kullanılarak yapılan manuel doğrulamaya dayalı olarak Android sürümüne göre en önemli kök sertifikalarının olası kullanılabilirliği gösterilmektedir. Sistem görüntülerinin artık kullanılamadığı durumlarda AOSP ca-certificates Git deposu sürüm geçmişine başvurulur:

Android sürümü GTS Root R1 GlobalSign Root CA - R1 GlobalSign Root R2 (15 Aralık 2021'e kadar geçerlidir)
2.3, 3.2, 4.x, 5.x, 6.x, 7.x, 8.x, 9
10+

Android sistem kök sertifikaları deposu, genellikle donanım yazılımı güncellemesi veya cihazın köklenmesi olmadan güncellenemez. Ancak, hâlâ yaygın olarak kullanılan çoğu Android sürümünde, mevcut güvenilir kök sertifika grubu önümüzdeki birkaç yıl boyunca, mevcut cihazların çoğunun kullanım ömrünün ötesinde kesintisiz hizmet sunacaktır.

Android 7.0 sürümünden itibaren uygulama geliştiricilere, yalnızca kendi uygulamaları tarafından güvenilen güvenilir sertifikalar eklemek için güvenli bir yöntem sunar. Bu işlem, sertifikaları uygulamayla paketleyerek ve Android Güvenlik ve Gizlilik İçin En İyi Uygulamalar Ağ Güvenliği Yapılandırması eğitim belgesinde açıklandığı şekilde özel bir ağ güvenliği yapılandırması oluşturarak yapılır.

Ancak üçüncü taraf uygulama geliştiricileri, Google Play Hizmetleri APK'sından gelen trafiğin ağ güvenliği yapılandırmasını etkileyemeyeceğinden bu tür çabalar muhtemelen yalnızca kısmi bir geçici çözüm sunar.

Eski cihazlarda tek seçeneğiniz, son kullanıcı cihazına uygulanan bir kurumsal grup politikası tarafından veya son kullanıcılar tarafından yüklenen, kullanıcı tarafından eklenen CA'ları kullanmaktır.

iOS Trust Store

Apple, varsayılan güvenilir kök sertifika grubunu doğrudan cep telefonu kullanıcısına göstermese de şirket, Apple Destek makalelerinde iOS 5 ve sonraki sürümler için güvenilir kök CA gruplarının bağlantılarını paylaşmaktadır:

Ancak iOS cihaza yüklenen ek sertifikalar Ayarlar > Genel > Profil bölümünde görünür. Ek sertifika yüklenmemişse Profil menü öğesi gösterilmeyebilir.

Bu tabloda, yukarıdaki kaynaklara göre iOS sürümüne göre en önemli kök sertifikalarının kullanılabilirliği gösterilmektedir:

iOS sürümü GTS Root R1 GlobalSign Root CA - R1 GlobalSign Root R2 (15 Aralık 2021'e kadar geçerlidir)
5, 6, 7, 8, 9, 10, 11, 12.0
12.1.3+

Sistem kök sertifikaları depom nerededir ve nasıl güncelleyebilirim?

Varsayılan kök sertifika deposunun konumu, işletim sistemine ve kullanılan SSL/TLS kitaplığına göre değişir. Ancak çoğu Linux dağıtımında varsayılan kök sertifikaları aşağıdaki yollardan birinde bulunabilir:

  • /usr/local/share/ca-certificates: Debian, Ubuntu, eski RHEL ve CentOS sürümleri
  • /etc/pki/ca-trust/source/anchors ve /usr/share/pki/ca-trust-source: Fedora, daha yeni RHEL ve CentOS sürümleri
  • /var/lib/ca-certificates: OpenSUSE

Diğer sertifika yolları şunları içerebilir:

  • /etc/ssl/certs: Debian, Ubuntu
  • /etc/pki/tls/certs: RHEL, CentOS

Bu dizinlerdeki sertifikalardan bazıları muhtemelen diğer dizinlerdeki dosyalara yönelik sembolik bağlantılardır.

OpenSSL kök sertifika deposu

OpenSSL kullanan uygulamalarda, varsayılan kök sertifika deposu da dahil olmak üzere yüklü bileşenlerin yapılandırılmış konumunu aşağıdaki komutu kullanarak kontrol edebilirsiniz:

openssl version -d

Komut, OPENSSLDIR değerini yazdırır. Bu değer, kitaplığın ve yapılandırmalarının bulunabileceği en üst düzey dizine karşılık gelir:

OPENSSLDIR: "/usr/lib/ssl"

Kök sertifika deposu, certs alt dizininde bulunur.

ls -l /usr/lib/ssl/certs
lrwxrwxrwx 1 root root 14 Apr 21  2020 /usr/lib/ssl/certs -> /etc/ssl/certs

ls -l /etc/ssl/certs
…
-rw-r--r-- 1 root root 214904 Apr 15 17:01  ca-certificates.crt
…
lrwxrwxrwx 1 root root     50 Apr 15 16:57  GTS_Root_R1.pem -> /usr/share/ca-certificates/mozilla/GTS_Root_R1.crt
…

OpenSSL, yukarıdaki örnekte olduğu gibi varsayılan sistem kök sertifikaları deposunu kullanıyorsa sistem kök sertifikası paketinin güncel olduğundan emin olmak için Sistem kök sertifikaları depom nerede ve nasıl güncelleyebilirim? üst düzey bölümünü kontrol edin.

openssl'yi edinme talimatları için OpenSSL'i edinme bölümüne bakın.

Java kök sertifika deposu

Java uygulamaları, kendi kök sertifika depolarını kullanabilir. Bu depo, Linux sistemlerinde genellikle /etc/pki/java/cacerts veya /usr/share/ca-certificates-java konumundadır ve Java keytool komut satırı aracı kullanılarak yönetilebilir.

Java sertifika deponuza tek bir sertifika aktarmak için aşağıdaki komutu verin:

keytool -import -trustcacerts -file cert.pem -alias alias -keystore certs.jks

cert.pem değerini, önerilen her kök sertifikaya karşılık gelen sertifika dosyasıyla, alias değerini benzersiz ancak anlamlı bir sertifika takma adıyla ve certs.jks değerini ortamınızda kullanılan sertifika veritabanı dosyasıyla değiştirmeniz yeterlidir.

Daha fazla bilgi için lütfen aşağıdaki Oracle ve Stack Overflow makalelerine bakın:

Mozilla NSS kök sertifika deposu

Mozilla NSS kullanan uygulamalar, varsayılan olarak genellikle /etc/pki/nssdb altında bulunan sistem genelinde bir sertifika veritabanı veya ${HOME}/.pki/nssdb altında kullanıcıya özel bir varsayılan mağaza da kullanabilir.

NSS veritabanınızı güncellemek için certutil aracını kullanın.

Tek bir sertifika dosyasını NSS veritabanınıza aktarmak için aşağıdaki komutu girin:

certutil -A -t "C,," -i cert.pem -n cert-name -d certdir

cert.pem değerini, önerilen her kök sertifikaya karşılık gelen sertifika dosyasıyla, cert-name değerini anlamlı bir sertifika takma adıyla ve certdir değerini ortamınızda kullanılan sertifika veritabanı yoluyla değiştirmeniz yeterlidir.

Daha fazla bilgi için lütfen resmi NSS Tools certutil kılavuzunu ve işletim sisteminizin belgelerini inceleyin.

Microsoft .NET kök sertifikaları mağazası

Windows .NET geliştiricileri, kök sertifika depolarını güncellemek için aşağıdaki Microsoft makalelerinden en az birini faydalı bulabilir:

Sertifika dosyası biçimleri

PEM dosyası nedir?

Privacy-Enhanced Mail (PEM), RFC 7468'de yasal standart olarak resmileştirilen kriptografik sertifikaları, anahtarları vb. depolamak ve göndermek için de facto standart bir metin dosyası biçimidir.

Dosya biçimi kullanıcılar tarafından okunabilir olsa da Base64 kodlu ikili sertifika veri bilgileri okunamaz. Ancak PEM spesifikasyonu, metin kodlu sertifika gövdesinden önce veya sonra açıklayıcı metin yayınlamaya izin verir. Birçok araç, bir sertifikadaki en alakalı veri öğelerinin net metin özetini sağlamak için de bu özelliği kullanır.

openssl gibi araçlar, sertifikanın tamamını insan tarafından okunabilir bir biçime dönüştürmek için de kullanılabilir. Daha fazla bilgi için PEM sertifikalarını kullanıcı tarafından okunabilir biçimde yazdırma bölümüne bakın.

".crt" dosyası nedir?

Sertifikaların PEM biçiminde dışa aktarılmasına izin veren araçlar, dosyanın metin kodlaması kullandığını belirtmek için genellikle ".crt" dosya uzantısını kullanır.

DER dosyası nedir?

Distinguished Encoding Rules (DER), sertifikaları kodlamak için standartlaştırılmış bir ikili biçimdir. PEM dosyalarındaki sertifikalar genellikle Base64 kodlamalı DER sertifikalarıdır.

".cer" dosyası nedir?

".cer" son eki içeren dışa aktarılan bir dosya, PEM kodlu bir sertifika içerebilir ancak genellikle ikili, genellikle DER kodlu bir sertifika içerir. Gelenek gereği, ".cer" dosyaları genellikle yalnızca tek bir sertifika içerir.

Sistemim, roots.pem dosyasından tüm sertifikaları içe aktarmayı reddediyor

Bazı sistemler (ör. Java keytool, birden fazla sertifika içerse bile PEM dosyasından yalnızca tek bir sertifika içe aktarabilir. Dosyanın nasıl bölünebileceğini öğrenmek için roots.pem dosyasından tek tek sertifikaları nasıl ayıklayabilirim? başlıklı soruya bakın.

roots.pem dosyasından tek tek sertifikaları nasıl ayıklayabilirim?

Aşağıdaki basit bash komut dosyasını kullanarak roots.pem'ü bileşen sertifikalarına ayırabilirsiniz:

csplit -z -f roots.pem. roots.pem '/-----END CERTIFICATE-----/+1' '{*}' &>/dev/null && \
for f in roots.pem.*; \
  do mv "${f}" $(openssl x509 -in "${f}" -noout -issuer_hash).pem; \
done

Bu işlem, burada listelenenlere benzer birkaç ayrı PEM dosyası oluşturur:

ls -l *.pem
-rw-r----- 1 <user> <group>  2217 Apr 28 11:04 02265526.pem
-rw-r----- 1 <user> <group>  1722 Apr 28 11:04 062cdee6.pem
-rw-r----- 1 <user> <group>  1279 Apr 28 11:04 0a775a30.pem
-rw-r----- 1 <user> <group>  2425 Apr 28 11:04 1001acf7.pem
-rw-r----- 1 <user> <group>  1796 Apr 28 11:04 106f3e4d.pem
-rw-r----- 1 <user> <group>  1315 Apr 28 11:04 1d3472b9.pem
-rw-r----- 1 <user> <group>  1919 Apr 28 11:04 244b5494.pem
-rw-r----- 1 <user> <group>  1668 Apr 28 11:04 2b349938.pem
-rw-r----- 1 <user> <group>  1651 Apr 28 11:04 2c543cd1.pem
-rw-r----- 1 <user> <group>  1858 Apr 28 11:04 3513523f.pem
-rw-r----- 1 <user> <group>  2000 Apr 28 11:04 40547a79.pem
-rw-r----- 1 <user> <group>  1862 Apr 28 11:04 4a6481c9.pem
-rw-r----- 1 <user> <group>  1927 Apr 28 11:04 4bfab552.pem
-rw-r----- 1 <user> <group>  1745 Apr 28 11:04 5ad8a5d6.pem
-rw-r----- 1 <user> <group>  1813 Apr 28 11:04 607986c7.pem
-rw-r----- 1 <user> <group>  2425 Apr 28 11:04 626dceaf.pem
-rw-r----- 1 <user> <group>  1738 Apr 28 11:04 653b494a.pem
-rw-r----- 1 <user> <group>  2294 Apr 28 11:04 6b99d060.pem
-rw-r----- 1 <user> <group>  2510 Apr 28 11:04 75d1b2ed.pem
-rw-r----- 1 <user> <group>  1788 Apr 28 11:04 76cb8f92.pem
-rw-r----- 1 <user> <group>  1383 Apr 28 11:04 7f3d5d1d.pem
-rw-r----- 1 <user> <group>  1668 Apr 28 11:04 93bc0acc.pem
-rw-r----- 1 <user> <group>  1220 Apr 28 11:04 9c8dfbd4.pem
-rw-r----- 1 <user> <group>  1838 Apr 28 11:04 9d04f354.pem
-rw-r----- 1 <user> <group>  1279 Apr 28 11:04 a3418fda.pem
-rw-r----- 1 <user> <group>  2194 Apr 28 11:04 aee5f10d.pem
-rw-r----- 1 <user> <group>  1249 Apr 28 11:04 b0e59380.pem
-rw-r----- 1 <user> <group>  1882 Apr 28 11:04 b1159c4c.pem
-rw-r----- 1 <user> <group>  2346 Apr 28 11:04 b727005e.pem
-rw-r----- 1 <user> <group>  1940 Apr 28 11:04 cbf06781.pem
-rw-r----- 1 <user> <group>  2609 Apr 28 11:04 d6325660.pem
-rw-r----- 1 <user> <group>  2474 Apr 28 11:04 dc4d6a89.pem
-rw-r----- 1 <user> <group>  1358 Apr 28 11:04 dd8e9d41.pem
-rw-r----- 1 <user> <group>  1972 Apr 28 11:04 ee64a828.pem
-rw-r----- 1 <user> <group>  1462 Apr 28 11:04 eed8c118.pem
-rw-r----- 1 <user> <group>  1944 Apr 28 11:04 f081611a.pem
-rw-r----- 1 <user> <group>  1488 Apr 28 11:04 f30dd6ad.pem
-rw-r----- 1 <user> <group>  1975 Apr 28 11:04 f387163d.pem
-rw-r----- 1 <user> <group>  2632 Apr 28 11:04 fc5a8f99.pem
-rw-r----- 1 <user> <group> 72865 Apr 20 12:44 roots.pem

02265526.pem gibi tek tek PEM dosyaları daha sonra ayrı olarak içe aktarılabilir veya sertifika deponuzun kabul ettiği bir dosya biçimine dönüştürülebilir.

PEM dosyası ile sistemim tarafından desteklenen bir biçim arasında dönüştürme

OpenSSL araç seti komut satırı aracıopenssl, yaygın olarak kullanılan tüm sertifika dosyası biçimleri arasında dosya dönüştürmek için kullanılabilir. PEM dosyasını en yaygın sertifika dosyası biçimlerine dönüştürme talimatları aşağıda verilmiştir.

Kullanılabilir seçeneklerin tam listesi için resmi OpenSSL Komut Satırı Araçları belgelerine göz atın.

openssl'yi edinme talimatları için OpenSSL'i edinme bölümüne bakın.

PEM dosyasını DER biçimine nasıl dönüştürebilirim?

openssl kullanarak bir dosyayı PEM'den DER'e dönüştürmek için aşağıdaki komutu verebilirsiniz:

openssl x509 -in roots.pem -outform der -out roots.der
PEM dosyasını PKCS #7'ye nasıl dönüştürebilirim?

openssl kullanarak bir dosyayı PEM'den PKCS #7'ye dönüştürmek için aşağıdaki komutu verebilirsiniz:

openssl crl2pkcs7 -nocrl -certfile roots.pem -out roots.p7b
PEM dosyasını PKCS #12'ye (PFX) nasıl dönüştürebilirim?

openssl kullanarak bir dosyayı PEM'den PKCS #12'ye dönüştürmek için aşağıdaki komutu verebilirsiniz:

openssl pkcs12 -export -info -in roots.pem -out roots.p12 -nokeys

PKCS #12 arşivi oluştururken bir dosya şifresi sağlamanız gerekir. PKCS #12 dosyasını hemen sisteminize aktarmazsanız şifreyi güvenli bir yerde sakladığınızdan emin olun.

Kök sertifika deponuzdaki sertifikaları listeleme, yazdırma ve dışa aktarma

Java Anahtar Deposu'ndaki bir sertifikayı PEM dosyası olarak nasıl dışa aktarabilirim?

keytool kullanarak sertifika deponuzdaki tüm sertifikaları, her birini dışa aktarmak için kullanabileceğiniz takma adla birlikte listelemek üzere aşağıdaki komutu verebilirsiniz:

keytool -v -list -keystore certs.jks

certs.jks yerine ortamınızda kullanılan sertifika veritabanı dosyasını eklemeniz yeterlidir. Bu komut, her bir sertifikanın takma adını da gösterir. Sertifikayı dışa aktarmak istiyorsanız bu adla ihtiyacınız olacaktır.

Bir sertifikayı PEM biçiminde dışa aktarmak için aşağıdaki komutu kullanın:

keytool -exportcert -rfc -keystore certs.jks -alias alias > alias.pem

Bunun için certs.jks değerini, ortamınızda kullanılan sertifika veritabanı dosyasıyla değiştirin ve dışa aktarmak istediğiniz sertifikaya karşılık gelen bir alias ve alias.pem sağlayın.

Daha fazla bilgi için lütfen Java Platform, Standard Edition Tools Reference: keytool (Java Platformu, Standart Sürüm Araçları Referansı: keytool) kılavuzunu inceleyin.

NSS kök sertifika deposundaki sertifikaları PEM dosyası olarak nasıl dışa aktarabilirim?

certutil kullanarak sertifika deponuzdaki tüm sertifikaları, her birini dışa aktarmak için kullanabileceğiniz takma adla birlikte listelemek üzere aşağıdaki komutu verebilirsiniz:

certutil -L -d certdir

certdir değerini, ortamınızda kullanılan sertifika veritabanı yoluyla değiştirmeniz yeterlidir. Bu komut, her sertifikanın takma adını da gösterir. Sertifikayı dışa aktarmak isterseniz bu takma adını kullanmanız gerekir.

Bir sertifikayı PEM biçiminde dışa aktarmak için aşağıdaki komutu kullanın:

certutil -L -n cert-name -a -d certdir > cert.pem

certdir değerini, ortamınızda kullanılan sertifika veritabanı yoluyla değiştirip dışa aktarmak istediğiniz sertifikaya karşılık gelen bir cert-name ve cert.pem değeri girmeniz yeterlidir.

Daha fazla bilgi için lütfen resmi NSS Tools certutil kılavuzunu ve işletim sisteminizin belgelerini inceleyin.

PEM sertifikalarını insan tarafından okunabilir biçimde yazdırma

Aşağıdaki örneklerde, aşağıdaki içeriklere sahip GTS_Root_R1.pem adlı bir dosyanız olduğunu varsayıyoruz:

# Operating CA: Google Trust Services LLC
# Issuer: C=US, O=Google Trust Services LLC, CN=GTS Root R1
# Subject: C=US, O=Google Trust Services LLC, CN=GTS Root R1
# Label: "GTS Root R1
# Serial: 6e:47:a9:c5:4b:47:0c:0d:ec:33:d0:89:b9:1c:f4:e1
# MD5 Fingerprint: 82:1A:EF:D4:D2:4A:F2:9F:E2:3D:97:06:14:70:72:85
# SHA1 Fingerprint: E1:C9:50:E6:EF:22:F8:4C:56:45:72:8B:92:20:60:D7:D5:A7:A3:E8
# SHA256 Fingerprint: 2A:57:54:71:E3:13:40:BC:21:58:1C:BD:2C:F1:3E:15:84:63:20:3E:CE:94:BC:F9:D3:CC:19:6B:F0:9A:54:72
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
OpenSSL kullanarak sertifika dosyalarını yazdırma

Komutu verme

openssl x509 -in GTS_Root_R1.pem -text

şuna benzer bir çıkış verir:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            6e:47:a9:c5:4b:47:0c:0d:ec:33:d0:89:b9:1c:f4:e1
        Signature Algorithm: sha384WithRSAEncryption
        Issuer: C = US, O = Google Trust Services LLC, CN = GTS Root R1
        Validity
            Not Before: Jun 22 00:00:00 2016 GMT
            Not After : Jun 22 00:00:00 2036 GMT
        Subject: C = US, O = Google Trust Services LLC, CN = GTS Root R1
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (4096 bit)
                Modulus:
                    …
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Key Usage: critical
                Certificate Sign, CRL Sign
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Subject Key Identifier:
                E4:AF:2B:26:71:1A:2B:48:27:85:2F:52:66:2C:EF:F0:89:13:71:3E
    Signature Algorithm: sha384WithRSAEncryption
        …

openssl'yi edinme talimatları için OpenSSL'i edinme bölümüne bakın.

Java Keytool'u kullanarak sertifikaları yazdırma

Aşağıdaki komutu göndererek

keytool -printcert -file GTS_Root_R1.pem

şuna benzer bir çıkış verir:

Owner: CN=GTS Root R1, O=Google Trust Services LLC, C=US
Issuer: CN=GTS Root R1, O=Google Trust Services LLC, C=US
Serial number: 6e47a9c54b470c0dec33d089b91cf4e1
Valid from: Wed Jun 22 02:00:00 CEST 2016 until: Sun Jun 22 02:00:00 CEST 2036
Certificate fingerprints:
   SHA1: E1:C9:50:E6:EF:22:F8:4C:56:45:72:8B:92:20:60:D7:D5:A7:A3:E8
   SHA256: 2A:57:54:71:E3:13:40:BC:21:58:1C:BD:2C:F1:3E:15:84:63:20:3E:CE:94:BC:F9:D3:CC:19:6B:F0:9A:54:72
Signature algorithm name: SHA384withRSA
Subject Public Key Algorithm: 4096-bit RSA key
Version: 3

Extensions:

#1: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
  CA:true
  PathLen:2147483647
]

#2: ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
  Key_CertSign
  Crl_Sign
]

#3: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: E4 AF 2B 26 71 1A 2B 48   27 85 2F 52 66 2C EF F0  ..+&q.+H'./Rf,..
0010: 89 13 71 3E                                        ..q>
]
]

keytool dosyasını alma talimatları için Java Keytool'u alma bölümüne bakın.

Kök sertifika depomda hangi sertifikaların yüklü olduğunu nasıl görebilirim?

Bu durum, işletim sistemine ve SSL/TLS kitaplığına göre değişir. Ancak kök sertifika deposuna sertifika içe ve dışa aktarma olanağı tanıyan araçlar genellikle yüklü sertifikaları listeleme seçeneği de sunar.

Ayrıca, güvenilir kök sertifikaları PEM dosyalarına başarıyla aktardıysanız veya kök sertifika deponuz zaten saklanmış PEM dosyaları içeriyorsa dosyaları düz metin dosyası biçiminde olduğu için herhangi bir metin düzenleyicide açmayı deneyebilirsiniz.

PEM dosyası, ilişkili sertifika yetkilisinin okunabilir bilgilerini sağlayarak uygun şekilde etiketlenebilir (güvenilir Google kök CA paketinden örnek):

# Operating CA: Google Trust Services LLC
# Issuer: C=US, O=Google Trust Services LLC, CN=GTS Root R1
# Subject: C=US, O=Google Trust Services LLC, CN=GTS Root R1
# Label: "GTS Root R1"
# Serial: 6e:47:a9:c5:4b:47:0c:0d:ec:33:d0:89:b9:1c:f4:e1
# MD5 Fingerprint: 82:1A:EF:D4:D2:4A:F2:9F:E2:3D:97:06:14:70:72:85
# SHA1 Fingerprint: E1:C9:50:E6:EF:22:F8:4C:56:45:72:8B:92:20:60:D7:D5:A7:A3:E8
# SHA256 Fingerprint: 2A:57:54:71:E3:13:40:BC:21:58:1C:BD:2C:F1:3E:15:84:63:20:3E:CE:94:BC:F9:D3:CC:19:6B:F0:9A:54:72
-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----

Dosya, yalnızca sertifika bölümünü de içerebilir. Bu tür durumlarda, GTS_Root_R1.pem gibi dosya adı, sertifikanın hangi CA'ya ait olduğunu tanımlayabilir. -----BEGIN CERTIFICATE----- ve -----END CERTIFICATE----- jetonları arasındaki sertifika dizesinin de her CA için benzersiz olması garanti edilir.

Ancak yukarıdaki araçlara sahip değilseniz bile güvenilir Google kök CA paketindeki her sertifika uygun şekilde etiketlendiğinden, paketteki kök CA'ları kök sertifika deponuzdakilerle Issuer kullanarak veya PEM dosyası sertifika dizelerini karşılaştırarak güvenilir bir şekilde eşleştirebilirsiniz.

Web tarayıcıları kendi kök sertifika depolarını kullanabilir veya işletim sistemi tarafından sağlanan varsayılan depoyu kullanabilir. Ancak tüm modern tarayıcılar, güvendikleri kök CA grubunu yönetmenize veya en azından görüntülemenize olanak tanımalıdır. Daha fazla bilgi için JavaScript uygulamalarının çalışmama riski var mı? sorusuna bakın.

Mobil telefona özel talimatlar için Mobil telefonumdaki güvenilir kök sertifikalarını nasıl kontrol edebilirim? başlıklı ayrı soruya bakın.

Ek

Daha fazla bilgiye mi ihtiyacınız var?

Her zaman öncelikle işletim sisteminizin dokümanlarını, uygulamanızın programlama dilinin dokümanlarını ve uygulamanızın kullandığı harici kitaplıkların dokümanlarını kullanın.

Bu SSS dahil diğer bilgi kaynakları güncel olmayabilir veya yanlış olabilir. Bu nedenle, bu kaynaklara güvenilmemelidir. Bununla birlikte, Stack Exchange soru-cevap topluluklarının çoğunda, AdamW on Linux and more gibi sitelerde ve confirm blog gibi diğer kaynaklarda faydalı bilgiler bulabilirsiniz.

Lütfen Google Trust Services SSS sayfasına da göz atın.

Sertifika sabitleme gibi ileri düzey konular hakkında daha fazla bilgi edinmek için Open Web Application Security Project (OWASP) Sertifika ve Herkese Açık Anahtar Sabitleme makalesini ve Sabitleme Kılavuzu'nu inceleyebilirsiniz. Android'e özgü talimatlar için lütfen resmi Android Güvenlik ve Gizlilik En İyi Uygulamaları HTTPS ve SSL ile Güvenlik eğitim belgesine bakın. Android'de sertifika ve ortak anahtar sabitleme hakkında bilgi edinmek için Matthew Dolan'ın Android Güvenlik: SSL Sabitleme başlıklı blog yayınını inceleyebilirsiniz.

Android Güvenlik ve Gizlilik İçin En İyi Uygulamalar Ağ Güvenliği Yapılandırması eğitim belgesi ve JeroenHD'nin Android 7 Nougat ve sertifika yetkilileri blog yayını, Android'de ek güvenilir sertifikaları yönetme hakkında daha fazla bilgi sağlar.

AOSP tarafından güvenilen kök CA'ların kapsamlı listesi için ca-certificates Git deposuna bakın. Resmi olmayan Android çatallarına dayalı sürümler (ör. LineageOS) için OS tedarikçisi tarafından sağlanan uygun depoları inceleyin.