6 gün önce
6
Microsoft’tan elektronikposta altyapısını kullanan kurumları yakından ilgilendiren önemli tek uyarı geldi. Şirket, Exchange Online ile çalışan sistemlerde elektronikposta akışının kesintiye uğramaması için bazı sertifika güven ayarlarının güncellenmesi lüzumtiğini açıkladı.
Exchange Online için eleştirel sertifika uyarısı
Microsoft Exchange ekibi tarafından yayımlanan duyuruya göre, Exchange Online ile SMTP üzerinden elektronikposta alışverişi yapan sistemlerin 15 Mart 2026 tarihine kadar DigiCert Global Root G2 sertifika otoritesine güvenmesi lüzumiyor. Bu güncelleme yapılmadığı takdirde kurumların elektronikposta iletişiminde kesintiler yaşanabileceği belirtiliyor.
Microsoft, daha önce bu geçiş için oğullar önemli 30 Nisan 2026 olarak açıklamıştı. Ancak sektör genelinde önceki kök sertifikaların hızla kullanım dışı bırakılması dolayı gün 15 Mart 2026 olarak öne çekildi.
Kimlerin işlem yapması lüzumiyor?
Microsoft’a göre çoğu kurumun ilave işlem yapmasına lüzum yok. Çünkü Windows işletim sistemi, güvenilen sertifika listelerini otomatik olarak güncelliyor. Bu nedenle Windows üzerinde çalışan ve bu özelliği devre dışı bırakmamış Exchange ya da SMTP sunucuları otomatik olarak güncellenmiş sertifikalara güvenmeye devam edecek.
Ancak bazı durumlarda sistemleri yöneticilerinin manuel işlem yapması lüzumebilir. Özellikle şu durumlar riskler oluşturabiliyor:
- Kurum içinde Windows Certificate Trust List (CTL) güncelleme özelliği kapatılmışsa
- Sertifika güven zinciri Group Policy ile manuel yönetiliyorsa
- Eski Java sürümleri, gömülü sistemler ya da özel Linux imajları kullanılıyorsa
- İnternete kapalı (air-gapped) sistemler Exchange Online ile iletişim kuruyorsa
Bu senaryolarda sistemlerin DigiCert Global Root G2 kök sertifikasını ve ilgili ara sertifikaları güvenilen sertifika deposuna eklemesi lüzumiyor.
Güncelleme yapılmazsa ne olur?
Microsoft, lüzumli sertifika güveni sağlanmadığında TLS bağlantılarının başarısız olabileceğini ve bunun elektronikposta iletişimini doğrudan tesirleyebileceğini belirtiyor. Olası sualnlar arasında şunlar mekan alıyor:
- Exchange Online ile SMTP bağlantısının kurulamayaması
- STARTTLS yanlışları dolayı elektronikposta gönderiminin manilenmesi
- Gelen e-postaların alınamaması ya da gecikmesi
- Güvenli bağlantı kurulamadığı için TLS iletişiminin başarısız olması
Örneğin Exchange Online ileti izleme kayıtlarında şu tür yanlışlar görülebilir:
450 4.4.317 Cannot kuran oturumlar with uzaktan server
451 5.7.3 STARTTLS is required to gönderen mail
Microsoft’tan kurumlara çağrı
Microsoft, kurumların 15 Mart 2026 tarihinden önce lüzumli sertifika kontrollerini yapmasını ve eksik sertifikaları yüklemesini öneriyor. Aksi halde Exchange Online ile müessese sistemleri arasındaki elektronikposta trafiğinde vahim kesintiler yaşanabileceği vurgulanıyor.
Şirket ayrıca Microsoft 365 yöneticilerinin Message Center üzerinden yayımlanan MC1224565 numaralı duyuruyu ttesirklerini öneri ediyor.
Özetle: Exchange Online kullanan kurumların büyük çoğunluğu otomatik olarak güncellenecek olsa da, sertifika güven listesini manuel yöneten sistemlerde DigiCert Global Root G2 sertifikasının zamanında yüklenmesi eleştirel önem taşıyor.
Bilgisayar dünyasında güven zinciri küçük tek halkaya benzer. Zincirin en üstündeki kök sertifika güvenilir değilse, onun imzaladığı tüm sertifikalar da geçersiz sayılır. E-posta altyapılarında yaşanan kesintilerin büyük kısmı da kesinlikle bu görünmez güven zincirinin kırılmasından kaynaklanır.
bu güncelleme hangi sistemleri üzerinde ypaılacka
Bu güncelleme Exchange Online tarafında değil, Exchange Online ile SMTP üzerinden başlıkşan sizin sistemlerinizde yapılır. Yani Microsoft öz tarafını zaten güncelliyor; mesele sizin ortamın o sertifikaya güvenip güvenmemesi.
Şöyle düşün: TLS bağlantısı kurulduğunda ikisi sistemleri birbirine “sen gerçekten kimsin?” diye sorar. Cevap sertifikadır. Eğer karşı tarafın kök sertifikası senin güven listende yoksa bağlantı kurulmaz. İşte Microsoft işte DigiCert Global Root G2’yi güvenilen kök olarak güçunlu hale getiriyor.
Bu nedenle denetim edilmesi lüzumen sistemler şunlar:
On-prem Exchange Server
- Hybrid yapı varsa
- Exchange Online ile postalar alışverişi yapıyorsa
- Send Connector ya da Receive Connector üzerinden SMTP başlıkşuyorsa
SMTP Gateway / Mail Security cihazları
Örneğin:
- FortiMail
- Cisco ESA
- Proofpoint
- Barracuda
- Trend Micro vb.
Bu cihazlar Exchange Online’a postalar gönderiyorsa sertifika zincirini doğrular.
Linux tabanlı postalar sunucuları
Örneğin:
- Postfix
- Exim
- Sendmail
- OpenSMTPD
Bunlar genelde OpenSSL trust store kullanır.
Eski Java uygulamaları
Eski JDK / JRE truststore (cacerts) kullanan sistemlerde da sertifika eksik olabilir.
Air-gapped ya da manuel certificate yönetimi olan Windows sunucular
Eğer kurum:
- Windows CTL Updater’ı kapattıysa
- Sertifikaları Group Policy ile manuel yönetiyorsa
o zamanlar Root CA elle eklenmelidir.
English (US) ·