Google Haritalar Platformu Kök CA Taşıma Hakkında SSS

Koleksiyonlar ile düzeninizi koruyun İçeriği tercihlerinize göre kaydedin ve kategorilere ayırın.

Bu dokümanda şu bölümler yer almaktadır:

Google kök CA taşıma işlemine daha ayrıntılı bir genel bakış için Neler oluyor? sayfasına göz atın.

Terminoloji

Aşağıda, bu doküman hakkında bilmeniz gereken en önemli terimlerin bir listesi verilmiştir. İlgili terminolojiye daha kapsamlı bir genel bakış için lütfen Google Güven Hizmetleri Hakkında SSS sayfasına göz atın.

SSL/TLS Sertifikası
Sertifika, şifreli anahtarı bir kimliğe bağlar.
SSL/TLS sertifikaları, web sitelerinde kimlik doğrulaması yapmak ve web siteleriyle güvenli bağlantılar kurmak için kullanılır. Sertifikalar, Sertifika Yetkilileri olarak bilinen tüzel kişiler tarafından verilir ve kriptografik olarak imzalanır.
Tarayıcılar, aktarılan bilgilerin doğru sunucuya gönderildiğini ve aktarım sırasında şifrelendiğini bilmek için güvenilir Sertifika Yetkilileri tarafından yayınlanan sertifikalara güvenir.
Güvenli Yuva Katmanı (SSL)
Güvenli Yuva Katmanı, internet iletişimlerini şifrelemek için kullanılan en yaygın protokoldür. SSL protokolü artık güvenli olarak kabul edilmediğinden kullanılmamalıdır.
Taşıma Katmanı Güvenliği (TLS)
Taşıma Katmanı Güvenliği, SSL'nin yerini almaktadır.
Sertifika Yetkilisi (CA)
Sertifika Yetkilisi, cihazlar ve kişiler için dijital pasaport ofisi gibidir. Bir tüzel kişinin (ör. web sitesi) iddia ettiği kişi olduğunu kanıtlamak için kriptografik olarak korunan dokümanlar (sertifikalar) verir.
Sertifika'yı vermeden önce CA'lar, sertifikadaki adların sertifika isteyen kişi veya tüzel kişiyle bağlantılı olduğunu doğrulamaktan sorumludur.
Sertifika Yetkilisi terimi, hem Google Güven Hizmetleri gibi kuruluşları hem de sertifika veren sistemleri ifade edebilir.
Kök sertifikalar deposu
Kök sertifika deposu, bir Uygulama Yazılım Tedarikçisi tarafından güvenilen bir Sertifika Yetkilileri grubu içerir. Çoğu web tarayıcısının ve işletim sisteminin kendi kök sertifikaları deposu vardır.
Kök sertifika deposuna dahil edilmek için Sertifika Yetkilisi, Uygulama Yazılımı Tedarikçisi tarafından belirlenen sıkı gereksinimleri karşılamalıdır.
Genellikle CA/Tarayıcı Forumu gereksinimleri gibi endüstri standartlarına uyum sağlarlar.
Kök Sertifika Yetkilisi
Kök Sertifika Yetkilisi (veya daha doğru adıyla sertifikası), sertifika zincirindeki en büyük sertifikadır.
Kök CA sertifikaları genellikle kendinden imzalıdır. Bu anahtarlarla ilişkili özel anahtarlar son derece güvenli yerlerde saklanır ve yetkisiz erişime karşı korumak için çevrimdışı durumda tutulur.
Orta Düzey Sertifika Yetkilisi
Orta Düzey Sertifika Yetkilisi (veya daha doğru olması için bir sertifika), sertifika zincirindeki diğer sertifikaları imzalamak için kullanılan sertifikadır.
Kök CA sertifikasının çevrimdışı kalmasına izin verirken ağırlıklı olarak online sertifika vermeyi etkinleştirmek için ara CA'lar bulunur.
Orta düzey CA'lar, "İkincil CA" olarak da bilinir.
Sertifika Veren Sertifika Yetkilisi
Sertifikayı Veren Sertifika Yetkilisi veya daha doğrusu sertifikası, bir sertifika zincirindeki en alttaki sertifikayı imzalamak için kullanılan sertifikadır.
Bu sertifikanın en altında yer alan sertifikaya genellikle abone sertifikası, son varlık sertifikası veya yaprak sertifikası denir. Bu dokümanda, sunucu sertifikası terimini de kullanacağız.
Sertifika zinciri
Sertifikalar, sertifikayı verene (kriptografik olarak imzalanan) bağlanır. Sertifika zinciri bir yaprak sertifika, sertifikayı veren tüm sertifikalar ve kök sertifikadan oluşur.
Çapraz imzalama
Uygulama Yazılımları Tedarikçileri' müşterilerin, ürünleri tarafından güvenilebilmeleri için kök sertifika depolarını yeni CA sertifikaları içerecek şekilde güncellemesi gerekir. Yeni CA sertifikalarını içeren ürünlerin yaygın olarak kullanılması biraz zaman alır.
Eski istemcilerle uyumluluğu artırmak için CA sertifikaları eski bir CA tarafından "imzalı" olarak imzalanabilir. Bu kimlik, aynı kimlik (ad ve anahtar çifti) için ikinci bir CA sertifikası oluşturur.
Müşteriler, kök sertifikalarındaki CA'lara bağlı olarak, güvendikleri köke kadar farklı bir sertifika zinciri oluşturur.

Genel bilgiler

What is happening?

Büyük resim

Google, 2017 yılında HTTPS tarafından kullanılan TLS internet güvenliğinin temeli olan kriptografik imzalar olan kendi kök sertifikalarını yayınlamak ve kullanmak için çok yıllık bir proje başlattı.

İlk aşamadan sonra Google Haritalar Platformu hizmetlerinin TLS güvenliği, çok iyi bilinen ve yaygın olarak güvenilir bir kök sertifika yetkilisi (CA) olan GS Root R2 tarafından garanti edilmektedir. Google, kendi kendine yayınlanan Google Trust Services (GTS) kök CA'larımıza geçişi kolaylaştırmak için GMO GlobalSign'dan edinmiştir.

Pratikte tüm TLS istemcileri (ör. Web tarayıcıları, akıllı telefonlar ve uygulama sunucuları) bu kök sertifikaya güvendi. Dolayısıyla taşıma işleminin ilk aşamasında Google Haritalar Platformu sunucularıyla güvenli bağlantı kurma imkanına sahip oldular.

Ancak CA, tasarımını kullanarak kendi sertifikasının son kullanma tarihinden sonra geçerli olan sertifikalar veremez. GS Root R2 alanının süresi 15 Aralık 2021'de sona erdiğinde Google, kendi hizmetlerini CA'nın kendi kök CA'sı olan GTS Kök R1'den alınan sertifikayla kendi hizmetlerini yeni bir CA olan GTS Root R1 Cross'a taşıyacaktır.

Modern işletim sistemlerinin ve TLS istemci kitaplıklarının büyük çoğunluğu zaten GTS kök CA'larına güvense de çoğu eski sistem için sorunsuz bir geçiş sağlamak amacıyla Google, şu anda kullanımda olan en eski, en güvenilir kök CA'lardan biri olan GlobalSign Root CA - R1'i kullanarak GMO GlobalSign'dan bir çapraz işaret elde etmiştir.

Bu nedenle, çoğu müşteri Google Haritalar Platformu müşterileri bu güvenilir CA'lardan birini (veya ikisini birden) zaten tanıyacak ve taşıma işleminin ikinci aşamasından hiç etkilenmeyecektir.

Bu durum, 2018'de taşımanın ilk aşamasında işlem yapan ve zamanında talimatlarımıza uyduğu varsayılarak güvenilir Google kök CA paketimizden tüm sertifikaları yükleyen müşteriler için de geçerlidir.

Aşağıdakiler geçerliyse sistemlerinizi doğrulamanız gerekir:

  • Hizmetleriniz standart olmayan veya eski platformlarda çalışıyorsa ve/veya kendi kök sertifika deponuzu
  • 2017-2018'de herhangi bir işlem yapmadığınız için Google'ın kök CA taşıma işleminin ilk aşamasında veya güvenilir Google kök CA paketinden tüm sertifika grubunu yüklemediniz

Yukarıdaki koşullar geçerliyse taşıma işleminin bu aşamasında Google Haritalar Platformu'nun kesintisiz bir şekilde kullanılabilmesi için, müşterilerinizin önerilen kök sertifikalarla güncellenmesi gerekebilir.

Teknik ayrıntılar için aşağıya bakın. Genel talimatlar için lütfen Kök sertifikalarımın güncellenmesinin gerekip gerekmediğini doğrulama bölümüne bakın.

Hizmetlerinizi gelecekteki kök CA değişikliklerine karşı korumak için kök sertifika depolarınızı yukarıda seçilen kök CA paketi ile senkronize olmaya devam etmenizi de öneririz. Ancak, bunlar önceden duyurulacaktır. Gelişmelerden haberdar olma konusunda daha fazla talimat için Bu taşıma aşamasıyla ilgili güncellemeleri nasıl alabilirim? ve Gelecekteki taşıma işlemleri için nasıl önceden bildirim alabilirim? bölümlerini inceleyin.

Teknik özet

15 Mart 2021'de Google Güvenlik Blogu'nda (GS Root R2) duyurulduğu üzere, Google Haritalar Platformu'nun 2018'in başlarından bu yana kullandığı kök CA, 15 Aralık 2021'de geçerliliğini yitirecektir. Bu nedenle Google, bu yıl boyunca yeni yayınlanan CA GTS Kök R1 Cross'a geçiş yapacak. Bu, hizmetlerimizin bu yeni CA tarafından verilen TLS yaprak sertifikalarına kademeli olarak geçeceği anlamına gelir.

Neredeyse tüm modern TLS istemcileri ve sistemleri GTS Kök R1 sertifikasıyla önceden yapılandırılmıştır veya normal yazılım güncellemeleri aracılığıyla kullanılmalıdır. GlobalSign Root CA - R1, eski eski sistemlerde kullanılabilir olmalıdır.

Ancak, aşağıdaki noktaların her ikisi de geçerliyse sistemlerinizi en azından doğrulamanız gerekir:

  • Hizmetleriniz standart olmayan veya eski platformlarda çalışıyorsa ve/veya kendi kök sertifika deponuzu
  • 2017-2018'de herhangi bir işlem yapmadığınız için Google'ın kök CA taşıma işleminin ilk aşamasında veya güvenilir Google kök CA paketinden tüm sertifika grubunu yüklemediniz

Kök sertifikaları depolama alanımın güncellenmesi gerektiğini doğrulama bölümü, sisteminizin bu durumdan etkilenip etkilenmeyeceğini test etmek için genel yönergeler sağlar.

Tüm kök sertifikalarımın neden güvenilir Google kök CA paketiyle senkronize edilmesini sağlamalıyım? başlıklı makaleyi inceleyin.

Bu taşıma aşamasıyla ilgili güncellemeleri nasıl alabilirim?

Güncellemeler için 186840968 sorununu herkese açık olarak bildirin. Bu SSS, genel süreçle ilgili olabilecek sorunlarla karşılaştığımızda taşıma işlemi boyunca da güncellenir.

Gelecekteki taşıma işlemleri için nasıl önceden bildirim alabilirim?

Google Güvenlik Blogu'nu takip etmenizi öneririz. Blogda yapılan duyurunun ardından, ürüne özel dokümanları en kısa sürede güncellemek için de çalışıyoruz.

Ayrıca, daha fazla sayıda müşteriyi etkileme olasılığı olan değişikliklerle ilgili forumda düzenli olarak güncellemeler yayınladığımız için lütfen Google Haritalar Platformu Bildirimleri'ne de abone olun.

Birden çok Google hizmeti kullanıyoruz. Kök CA taşıma işleminin tümü etkilenir mi?

Evet, kök CA taşıma işlemi tüm Google hizmetleri ve API'lerde gerçekleşir ancak zaman çizelgesi hizmete göre değişiklik gösterebilir. Bununla birlikte, Google Haritalar Platformu istemci uygulamalarınız tarafından kullanılan kök sertifika depolarının güvenilir Google kök CA paketinde listelenen tüm CA'ları içerdiğini doğruladıktan sonra, hizmetleriniz devam eden taşıma işleminden etkilenmez ve bunların senkronize tutulması da gelecekte kök CA değişikliklerine karşı sizi korur.

Şu sorulara bakın: Kök sertifikalarımı neden güvenilir Google kök CA paketiyle senkronize halde tutmalıyım? ve daha fazla bilgi için Hangi tür uygulamalar bozulma riski altında?

Aşağıdaki Kök sertifikaları depolama alanımın güncellenmesi gerektiğini doğrulama bölümünde, sisteminizin test edilmesine ilişkin genel talimatlar da verilmiştir.

Kök sertifika mağazamın güncellenmesi gerektiğini doğrulama

Uygulama ortamınızı aşağıda listelenen test uç noktalarıyla karşılaştırarak test edin:

  • GTS Kök R1 Çapraz Test uç noktasına yönelik bir TLS bağlantısı oluşturabiliyorsanız GS Root R2 süre sonu süresinden etkilenmezsiniz.
  • GTS Kök R1 test uç noktasına giden bir TLS bağlantısı oluşturabiliyorsanız uygulamanız büyük olasılıkla 2028'de GTS Kök R1 Cross ve GlobalSign Root CA - R1 kod depolarının geçerliliğine karşı korunacaktır.

Sisteminiz genellikle şu kök CA değişikliğiyle uyumludur:

  • hizmetiniz bakımlı bir ana akım işletim sisteminde çalışıyorsa ve hem işletim sistemini hem de hizmetinizin yama kullandığı kitaplıkları koruduysanız ve kendi kök sertifika deponuza sahip değilseniz veya:
  • önceki önerilerimizi izlediniz ve güvenilir Google kök CA paketinden tüm kök CA'ları yüklediniz