Let’s Encrypt Certificate Chain Problemi

Sorun 2

Let’s Encrypt sertifikalarını IIS 7.5, IIS 8.0 ve IIS 8.5 Web Server’ları üzerinde kullanıyorsanız SSL alanına Android ve FireFox üzerinden erimlere güvenlik hatası alınıyor.

Sorun 1

SSL alanı SSLLabs üzerinden test edildiğinde

This server's certificate chain is incomplete. Grade capped to B.

hatası alınıyor.

Çözüm

Bu durum Let’s Encrypt SSL sertifikasının zincir (Chain) yapısı için gerekli olan Certificate Auhority ve Intermediate Certificate Authority sertifikalarının sunucu üzerinden birden fazla olması sonucu meydana gelen bir hata.

Çözüm olarak bu fazla sertifikaları sistemden silmeniz yeterli.

Nasıl Silerim?

Başlat > Çalıştır > mmc

yazdıktan sonra açılan konsol penceresinden

File > Add/Remove Snap in..

menüsünü takip edin.

Açılan ekranda Snap-in alanından Certificates seçeneğini işaretleuip “Add >” butonuna basın.

Karşınıza gelen ekranda “Computer Account” seçeneğini seçin “Next” butonuna basın.

Diğer ekranda “Local Computer” seçeneği varsayılan olarak işaretli gelecektir. Finish butonuna basarak bitirin.

Açılan SSL Sertifikaları konsole ekranında sırası ile Let’s Encrypt CA sertifikalarını silmemiz gerekiyor.

Trusted Root Certification Authorities alanından DST Root CA X3 sertifikasını silin

Intermediate Certification Auhorities alanından Let’s Encrypt Authority X3 sertifikasını silin

Bu temizliği yaptıktan sonra

Başlat > Çalıştır > cmd

yazıp açılan komut satırı ekranı üzerinden

iisreset

komutunu vererek IIS’i yeniden başlatılmasını sağlayın.

Alternatif olarak SSL sertifikalarını Registry üzerinden de silebilirsiniz. Aşağıdaki komutlar Let’s Encrypt Root sertifikalarını direkt Resitry üzerinden silmektedir.

reg delete HKU\S-1-5-18\Software\Microsoft\SystemCertificates\CA\Certificates\3EAE91937EC85D74483FF4B77B07B43E2AF36BF4 /f
reg delete HKLM\Software\Microsoft\SystemCertificates\CA\Certificates\3EAE91937EC85D74483FF4B77B07B43E2AF36BF4 /f

Son olarak Web Sitesinin Binding bölümünden SSL alanını tekrar tanımlayacağız.

Başlat > Çalıştır > inetmgr

yazarak IIS yöentim ekranına ulaşın.

İlgili web sitesni bulun ve “Bindings” bölümüne gelin.

Burada daha önce tanımlı olan https çalışan binding’i silip. Aynısı tekrar ekleyin.

Bu aşamadan sonra aşağıdaki online araçlar ile sertifikanın zincirinin doğru çalışıp çalışmadığını test edebilirsiniz.

Online araçlar

• https://whatsmychaincert.com/
• https://www.ssllabs.com/ssltest/analyze.html
• https://www.sslshopper.com/ssl-checker.html

Local System Hesabının Sertifikalarını Silmek

Let’s Encrypt’in Root sertifikaları Windows Server’ın Local System hesabı altında da olabiliyor. Eğer yukarıda anlatılanlar çözüm sağlamadıysa bu hesabın altında da ilgili sertifikalar kalmış olabilir. Dolayısıyla bu sertifikalarını da ayrıca temizlemek gerekiyor.

mmc yönetim konsolunu Local System hesabı ile çalıştırıp yukarıda anlatılan işlemleri gereçkeltirebiliriz.

Bunun için psexec aracına ihtiyacımız var. Aşağıdaki adresten sunucu üzerine indiriniz.

• https://technet.microsoft.com/en-us/sysinternals/pxexec.aspx

Daha sonra aşağıdaki komut ile mmc konsoluna erişin.

psexec -i -s mmc.exe

SSL sertifika alanına eriştikten sonra yukarıdaki yönergeleri tekrarlayın.