IIS'nin VeriSign Web Sunucusu Sertifikalarını Hemen Güncelleştirin: Süresi dolan bir VeriSign ara sertifikası, SSL kullanan sitelere doğrulanmamış bağlantılar kurulmasına neden olabilir

Makale çevirileri Makale çevirileri
Makale numarası: 834438 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

™zet

VeriSign 128-Bit International (Global) Server Intermediate sertifika yetkilisinin önceki sertifikasının süresi 7 Ocak 2004 tarihinde doldu. Bu, güncel sertifikalara sahip olmayan Web sunucularına ve SSL/Aktarım Katmanı Güvenliği (TLS) kullanan diğer uygulamalara, kimliği sunucu tarafından doğrulanan güvenli yuva katmanı (SSL) bağlantısı kurmaya çalışan istemcilerin sorunlarla karşılaşmasına neden olabilir.

Bu sorunları önlemek için, Microsoft Internet Information Services (IIS) işletmenlerinin VeriSign'a başvurması ve Web sitelerine Güvenli Köprü Metin Aktarım Protokolü ile bağlanmak için 128-bit SSL kullanan sunucuların ara sertifika yetkilisi sertifikalarını güncelleştirmesi gerekmektedir.

Etkisi

İstemciler, güncelleştirilmiş sertifikalara sahip olmayan Web sunucularına SSL ile korunan bağlantı kuramaz.

Öneriler

VeriSign ara sertifikasının güncelleştirilmiş sürümünü yükleyin.

Etkilenen yazılımlar

  • Microsoft Internet Information Server
  • Microsoft Internet Security and Acceleration Server
  • Microsoft Exchange
  • Microsoft SQL Server

Teknik ayrıntılar

Teknik açıklama

VeriSign, süresi dolmakta veya dolmuş olan çok sayıda sertifika ve sertifika iptal listesi (CRL) tutmaktadır. Bu karşılaşılmayan bir durum değildir. Normal olarak, sertifika ve CRL'ler tasarım gereği kısa ömürlüdür. Ancak, daha uzun ömürlü olmaları için sertifikalar bazen yeniden verilir. Bu genellikle bir sorun oluşturmaz; ancak üzerindeki kaynaklara bağlanan oturumları korumak amacıyla güvenli yuva katmanı (SSL) kullanan sunucularda sorunlara yol açabilir.

Bir sunucu işletmeni, bir VeriSign SSL sertifikasını ilişkili "sertifikayı veren sertifika yetkilisi sertifikalarıyla" birlikte yükler ve daha sonra VeriSign üzerinden SSL sertifikalarını yenilerse, bu sırada ara sertifika yetkilisi sertifikalarının da güncelleştirildiğinden emin olmalıdır.

Güncelleştirilmiş sertifikaları yüklemek istiyorsanız, bu sertifikaların en son sürümlerini edinmek ve yükleme adımlarını öğrenmek için VeriSign Web sitesini ziyaret edin:
https://www.verisign.com/support/site/caReplacement.html

Ek bilgi

X.509 sertifikalarının doğrulanması bir kaç aşamada gerçekleşir. Bu aşamalar yol keşfini ve yol doğrulamayı içerir.

Yol keşfi, sertifikanın geçerli bir varlık tarafından verilip verilmediğini belirleme işlemidir. Bunu yapmak için bir çok teknik kullanabilirsiniz, örneğin:
  • İstemciler çoğunlukla bir ara sertifika önbelleği tutar. Ara sertifika, bir sertifikanın gerçekten geçerli bir kök sertifika yetkilisi tarafından verildiğini belirlemede yararlı olan bir sertifikadır.

    Sertifikalar, ilişkili ek bilgileri işaret eden uzantılar içerebilir. Bu tür uzantıların bir örneği Yetkili Bilgi Erişimi (AIA) uzantısıdır. AIA uzantısı sertifikayı vereni işaret edebilir.

    Not Her sertifika bu işaretçiyi içermez; bunlara bu sorunda ilişkili VeriSign sertifikaları dahildir. Microsoft, sertifika veren kuruluşlarla etkin işbirliğinde bulunarak bu bilgiyi gelecekte verecekleri sertifikalara eklemelerini önermektedir. Bu uzantı hakkında daha fazla bilgi için Internet Engineering Task Force (IETF) tarafından hazırlanan Açıklama İsteği (RFC) 3280 belgesine bakın.
  • Sunucular ek bilgiyi istemciye sağlayabilir. SSL, bu tekniğin bir örneğidir. SSL görüşmesinde, sunucu istemciye kendi (sunucunun) sertifikalarını ve istemcinin sunucunun kimliğini belirlemek için kullanabileceğini belirlediği sertifikaları sağlar.

Yol doğrulama, keşfedilen yolu doğrulama işlemidir. Yol doğrulama, sertifika üzerindeki tüm imzaların şifreli olarak doğrulanmasını içerir. Yol doğrulama, sertifikayı verenin ilkelerinin uygulandığının doğrulanmasını da içerir Bu gibi ilkeler aşağıdakileri içerir:
  • Sertifikayı veren kuruluş, söz konusu sertifikanın hala geçerli olduğuna ve hala ilk verildiği kişinin denetiminde olduğuna inanıyor mu? Bu davranışa genellikle "sertifika iptali denetimi" denir. Bu doğrulamayı gerçekleştirmek için Windows bir şifreleme nesnesi (sertifika iptal listesi, CRL) destekler.
  • Sertifika, veren kuruluşun hedeflediği amaç için mi kullanılıyor? Örneğin, e-posta kullanımı için verilen bir sertifikaya, bir Web sunucusunun belirli bir etki alanı adıyla ilişkili olduğu çıkarımını yapmak (SSL'de olduğu gibi) için güvenilmemelidir.
  • Sertifikaların geçerlilik süresi zamana uygun mu? Güvenlik nedeniyle sertifikaların ömrü sınırlıdır. Sertifika veren kuruluş, bir kişinin veya kaynağın belirli bir kimliğe, kuruluşun güvenilir olduğu düşünülen süreden daha uzun süre sahip olacağını onaylayamaz.

Sık sorulan sorular

Bu bir güvenlik açığı mı?

Hayır. Bu durum etkilenen ürünlerin hiçbirinde güvenlik açığı oluşturmamaktadır. Sorun yalnızca üçüncü tarafa ait bir dijital sertifikanın süresinin dolmasından kaynaklanmaktadır.

Sorunun kapsamı nedir?

Kısa bir süre önce, önde gelen sertifika yetkililerinden biri olan VeriSign Inc., "VeriSign International Server CA - Sınıf 3" sertifikasını geçerlilik süresi daha uzun olan sertifikalarla yeniledi. Web sunucusu işletmenleri bu yenilemeden sonra SSL sertifikalarını yenilemişse, Web sunucularının gerçekten kuruluşlarıyla ilişkili olduğunu doğrulamaya çalıştıklarında müşterileri sorunlarla karşılaşabilir.

Sorun nasıl çözümlenir?

Tüm Web sunucularında ara sertifika yetkilisi (CA) sertifikasını el ile yenileyerek bu sorunu çözümleyebilirsiniz. Bu sertifikayı edinmek için aşağıdaki VeriSign Web sitesini ziyaret edin:
https://www.verisign.com/support/site/caReplacement.html
Bu bir sunucu sorunuysa neden müşteriler sorunla karşılaşıyor?

Sorun, istemci bir Web sunucusuna güvenlikle geliştirilmiş bir bağlantı kurmaya çalıştığında ortaya çıkar. Bağlantı kurma sürecinin bir parçası olarak, sunucu istemciye çok sayıda sertifika gönderir. İstemci bu sertifikaları sunucunun sertifikasını doğrulamak için kullanır. Bu durumda, ara sertifika yetkililerinden birinin ("VeriSign International Server CA - Sınıf 3" sertifika yetkilisi) süresi dolmuştur. Bu ara sertifika geçerli değildir. Bu nedenle, tarayıcı kullanıcıya güvenlikle geliştirilmiş bir bağlantı kurulamadığını belirten bir uyarı iletisi görüntüler.

Microsoft sertifikaları bununla ilgili mi?

Hayır. Bu sertifikaları veren ve sahibi olan VeriSign, Inc. şirketidir. VeriSign, Microsoft tarafından sürdürülen bir programa katılmıştır. Bu programda, üçüncü taraf güven sağlayıcıları Microsoft müşterileri için Internet ticareti güvenliğinin sağlanmasına yardımcı olmaktadır. Bu program hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/technet/security/news/rootcert.mspx
Microsoft Kök Programı'na hangi sertifika yetkilileri katılıyor?

Microsoft Kök Programı'nın koşullarına uyan güvenilir üçüncü tarafların geçerli listesi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://msdn2.microsoft.com/en-us/library/ms995347.aspx
Microsoft hala Microsoft Internet Explorer'ın kullandığı sertifikaları güncelleştiriyor mu?

Evet. Microsoft Kök Programı'nın bir parçası olarak güvenilen kök yetkililerin listesi üç ayda bir güncelleştirilmektedir. Microsoft Windows XP ve Microsoft Windows Server 2003 kullanıcıları için bu güncelleştirme, zincir doğrulama altyapısına güvenmediği bir sertifika verildiğinde gerçekleşir. Bu davranış ortaya çıktığında, sertifikanın Kök Programı'na eklenip eklenmediğini doğrulamak için Windows Update ile iletişim kurulur. Windows XP öncesi istemcilerde, Windows Update'te el ile karşıdan yüklenebilen önerilen bir paket yayımlanır. Microsoft, kuruluş kullanıcılarının hangi güvenilen üçüncü taraflara güveneceğine kuruluşların kendilerinin karar vermesini önerir.

Not Microsoft Kök Programı tarafından sağlanan güncelleştirmeler VeriSign Ara Sertifikasının Süresinin Dolmasının neden olduğu sorunları ele almayacaktır.

Çözüm

Bu sorunu çözümlemek için, sunucularınızın tümünde ara CA sertifika deposunu en son VeriSign International Server Intermediate CA sürümü ile güncelleştirin.

Referanslar

CryptoAPI'nin sertifika zincirlerini nasıl oluşturduğu ve iptal durumunu nasıl doğruladığı konusunda daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/crypto/tshtcrl.mspx

Destek

Microsoft Ürün Destek Hizmetleri telefon numaralarının tam listesi ve destek ücretleri hakkında bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS
Not Bazı özel durumlarda, Microsoft Destek Uzmanı özel bir güncelleştirmenin sorununuzu çözümleyeceğini belirlerse, destek aramaları için normalde uygulanan ücretler iptal edilebilir. Söz konusu güncelleştirmeyle ilgili olmayan ek destek sorularına ve konularına normal destek ücreti uygulanır.

Güvenlik kaynakları

Microsoft ürünlerinde güvenlik konusunda daha fazla bilgi için aşağıdaki Microsoft TechNet Web sitesini ziyaret edin:
http://www.microsoft.com/turkiye/guvenlik/

Sorumluğun kaldırılması

Microsoft Knowledge Base'de sunulan bilgiler hiçbir garanti olmadan "olduğu gibi" sağlanır. Microsoft, ticari olarak satılabilirlik ve belirli bir amaca uygunluk da dahil olmak üzere doğrudan ya da dolaylı hiçbir garanti vermemektedir. Microsoft Corporation veya tedarikçileri, bu gibi zararlar olabileceği Microsoft Corporation veya tedarikçilerine önceden bildirilmiş olsa dahi, doğrudan, dolaylı, arızi, neticede oluşan, gelir kaybına neden olan ya da özel hiçbir hasar için sorumlu tutulamaz. Bazı eyaletlerde, neticede oluşan ya da kaza sonucu oluşan hasarların kapsam dışında tutulmasına ya da kısıtlanmasına izin verilmediği için bu kısıtlamalar uygulanmayabilir.

Özellikler

Makale numarası: 834438 - Last Review: 4 Aralık 2007 Salı - Gözden geçirme: 5.3
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Server 4.0
Anahtar Kelimeler: 
kbinfo KB834438

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com