Haziran 2026'da Chrome'un ClientAuth EKU desteğini kaldırması, bazı eski sistemlerimde SSL bağlantı sorunlarına yol açar mı?

0

Web sitemiz ve bazı iç servislerimiz için yıllardır kullandığımız ssl/TLS sertifikalarıyla ilgili bir endişem var. Google Chrome'un Haziran 2026 itibarıyla, Client Authentication Extended Key Usage (ClientAuth EKU) özelliğini destekleyen genel SSL/TLS sertifikalarına olan güvenini sonlandıracağını öğrendim. Mevcut sertifikalarımızın büyük çoğunluğu sunucu kimlik doğrulaması için kullanılıyor olsa da, şirket içinde bazı eski sistemlerimiz ve özel istemci uygulamalarımız (örneğin mTLS senaryolarında) bu ClientAuth EKU özelliğine sahip sertifikaları istemci kimlik doğrulaması için kullanıyor olabilir. Bu durumun, belirtilen tarihten sonra bu sistemlerde 'TLS el sıkışma hatası' veya 'SSL sertifikam neden bazı tarayıcılarda güvenilir görünmüyor?' gibi sorunlara yol açmasından endişe ediyorum. Özellikle bu tür bir politika değişikliğinin, uyumluluk gerektiren ve güncellemesi zor olan eski sistemlerimizi nasıl etkileyeceğini anlamak istiyorum. Geçiş süreci için ne gibi adımlar atmalıyız ve bu tür sertifikaları kullanan sistemleri nasıl tespit edebiliriz?

Daha fazla keşfet: SSL / HTTPS Kategorisi

Cevaplar (1)

0
Kısa Cevap: Google Chrome'un Haziran 2026 itibarıyla ClientAuth EKU içeren genel ssl/TLS sertifikalarına yönelik güven politikasını güncellemesi, özellikle istemci kimlik doğrulaması (mTLS) için bu tür sertifikaları kullanan eski sistemlerinde ve özel uygulamalarında 'TLS el sıkışma hatası' gibi sorunlara yol açabilir. Proaktif envanter tespiti ve sertifika yönetimi ile bu sorunlar aşılabilir.

Web sitenizin ve iç servislerinizin SSL/TLS sertifikalarıyla ilgili endişelerin, Google Chrome'un Client Authentication Extended Key Usage (ClientAuth EKU) desteğini kaldırma kararı bağlamında oldukça yerinde ve teknik bir vaka teşkil etmektedir. Bu durum, özellikle istemci kimlik doğrulaması gerektiren (mTLS) senaryolarda kullanılan sertifikaları etkileme potansiyeli taşımaktadır. Sorunun temelinde, genel amaçlı sunucu sertifikalarının istemci kimlik doğrulaması için kullanılabilme esnekliğinin Chrome tarafından kısıtlanması yatmaktadır.

Bu endişen için net bir çözüm yolu bulunmaktadır. Mevcut sertifikalarının doğru bir şekilde analizi ve gerektiğinde yenilenmesi veya ilgili sistemlerin güncellenmesi ile olası kesintilerin önüne geçmek mümkündür. Teknik ve idari olarak atılacak adımlar ile bu geçiş süreci sorunsuz bir şekilde yönetilebilir.

Sorunun olası kaynağı, Chrome'un sertifika kullanım amacını daha kesin bir şekilde belirleme isteğidir. Tarayıcı, bir sertifikanın hem sunucu hem de istemci kimlik doğrulaması için kullanılabilirliğini belirtmesine rağmen, güvenlik gerekçeleriyle bu genel kullanıma yönelik güveni azaltmaktadır. Özellikle, ClientAuth EKU'ya sahip ancak spesifik olarak istemci kimlik doğrulaması için tasarlanmamış veya yanlış yapılandırılmış sertifikalar, tarayıcı tarafından güvenilir kabul edilmeyebilir. Bu durum, TLS el sıkışma sürecinde tarayıcının sertifikayı reddetmesine ve dolayısıyla bağlantı hatalarına yol açabilir.

Bu durumu yönetmek için atılması gereken adımlar şunlardır:

  1. Sertifika Envanterinin Çıkarılması ve Tespit:

    Tüm mevcut SSL/TLS sertifikalarını ve bunların hangi sistemler tarafından, hangi amaçla (sunucu veya istemci kimlik doğrulaması) kullanıldığını detaylı bir şekilde listele. Özellikle mTLS senaryolarında kullanılan sertifikalara odaklan.

  2. ClientAuth EKU Kontrolü:

    Envanterdeki sertifikaların Extended Key Usage (EKU) alanını kontrol et. Bir sertifikanın ClientAuth EKU içerip içermediğini OpenSSL gibi araçlarla tespit edebilirsin. Örneğin, aşağıdaki komutla sertifika detaylarını inceleyebilirsin:

    Openssl x509 -in your_certificate.crt -text -noout | grep 'Extended Key Usage'

    Çıktıda 'TLS Web Client Authentication' ifadesi varsa, o sertifika ClientAuth EKU'ya sahiptir.

  3. Stratejik Çözüm Yolları:
    • Sunucu Kimlik Doğrulaması İçin Kullanılan Sertifikalar: Eğer sertifika sunucu kimlik doğrulaması için kullanılıyor ve ClientAuth EKU içeriyorsa ancak istemci kimlik doğrulaması için kullanılmıyorsa, bu durumun doğrudan bir sorun yaratması beklenmez. Ancak, en iyi uygulama olarak, yalnızca gerekli EKU'ları içeren sertifikalar kullanılması önerilir.
    • İstemci Kimlik Doğrulaması İçin Kullanılan Sertifikalar: Bu senaryo, asıl riskin olduğu yerdir. Bu sertifikaların, Chrome'un yeni politikasıyla uyumlu olduğundan emin olmalısın. Gerekirse, yalnızca istemci kimlik doğrulaması için özel olarak düzenlenmiş, amaca yönelik sertifikalar (örneğin, özel bir PKI altyapısından) edinmeli veya mevcut sertifikalarını bu amaca uygun olarak yeniden düzenlemelisin.
    • Eski Sistemlerin Değerlendirilmesi: Eski sistemlerin ve özel istemci uygulamalarının sertifika yönetimini modern standartlara uygun hale getirme imkanlarını araştır. Mümkünse, daha güncel kimlik doğrulama yöntemlerine geçişi değerlendir.
  4. Test ve İzleme:

    Yapılan tüm değişiklikleri, canlıya almadan önce kontrollü bir test ortamında (farklı Chrome sürümleriyle) kapsamlı bir şekilde test et. Geçiş sürecinde sistemlerini yakından izleyerek olası sorunlara anında müdahale etmeye hazır ol.

Teknik Not:

Client Authentication Extended Key Usage (EKU), bir sertifikanın istemci tarafında kimlik doğrulaması yapmak için kullanılabileceğini belirten bir sertifika uzantısıdır. Normalde, bir SSL/TLS sertifikası sunucunun kimliğini doğrulamak için kullanılırken, mTLS (mutual TLS) senaryolarında hem sunucu hem de istemci karşılıklı olarak birbirlerinin kimliğini doğrular. Chrome'un bu değişikliği, genel amaçlı sertifikaların bu spesifik istemci kimlik doğrulama rolünde kullanımını daha sıkı kurallara bağlayarak, sertifika kullanım amacını netleştirmeyi ve potansiyel güvenlik zafiyetlerini azaltmayı hedeflemektedir. Bu, daha spesifik ve amaca yönelik sertifika kullanımını teşvik eden bir güvenlik iyileştirmesidir.

İlginizi Çekebilir

Kullanıcılar