Merhaba
2026’nın ilk yarısı, kök sertifika otoritelerinde yılların en büyük dönüşümüne sahne oldu. DigiCert Global Root G1, 2028’deki doğal vadesini beklemeden fiilen emekliye ayrıldı; yerini DigiCert Global Root G2 aldı.
Kritik eşikler artık arkamızda:
| Tarih | Ne Oldu? |
|---|---|
| 7 Ocak 2026 | Microsoft Entra, DigiCert G1 → G2 köküne geçti |
| 16 Mart 2026 | Microsoft, M365 Root Certificate Chain Bundle’larını eksik bilgi nedeniyle yeniden yayımladı |
| 22 Mart 2026 | Exchange Online SMTP güven zinciri için son tarih |
| 15 Nisan 2026 | Bazı e-posta sağlayıcıları DigiCert G1 kökünü distrust etmeye başladı |
| 30 Nisan 2026 | Microsoft Message Center (MC1224565) nihai aksiyon tarihi |
Bugün Temmuz 2026’dayız. Eğer hala bir yerlerde G1’e bağımlı bir sistem varsa, o sistem çoktan sessizce kırılmış olabilir ya da sıradaki dalgada kırılacak.
Kim Etkilendi, Kim Etkilenmedi?
Etkilenmeyenler: Windows, sertifika güvenlerini varsayılan olarak otomatik günceller. CTL Updater’ı hiç devre dışı bırakmamış, Windows üzerinde mail iş yükü çalıştıran kurumların (örn. on-premises Exchange Server) çoğu bu geçişi fark bile etmedi. Aynı şekilde güncel Linux ve macOS sistemleri, paket yöneticisi üzerinden kök sertifika güncellemelerini aldı.
Etkilenenler — ve etkilenmeye devam edenler:
- Windows CTL Updater’ı GPO veya registry ile kapatılmış ortamlar
- Tam sertifika zinciri doğrulaması yapan güvenlik appliance’ları ve üçüncü parti mail gateway’ler
- Destek dışı işletim sistemleri
- Kendi trust store’unu taşıyan Java runtime’lar (
) - Uzun süredir yeniden derlenmemiş container imajları
- Kapalı / air-gapped ağlar
- G1’e certificate pinning yapmış uygulamalar
- Manuel sertifika yönetimi yapılan her şey
Bu listede kendinizi buluyorsanız, “geçti gitti” demeden önce doğrulama yapın.
Şimdi Ne Yapmalı: Doğrulama
DigiCert Global Root G2 Kimlik Bilgileri
SHA-1 Thumbprint:
Serial Number:
Windows
# Trusted Root store'da G2 var mı?
Get-ChildItem -Path Cert:\LocalMachine\Root |
Where-Object { $_.Thumbprint -eq "DF3C24F9BFD666761B268073FE06D1CC8D4F82A4" } |
Format-List Subject, Thumbprint, NotAfter
# CTL AutoUpdate devre dışı mı? (Boş dönerse: aktif, sorun yok)
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot" `
-Name DisableRootAutoUpdate -ErrorAction SilentlyContinue
Önemli: Mart 2026’dan önce M365 bundle’ını import ettiyseniz, o paket eksikti. 16 Mart sonrası yayımlanan sürümü indirip işlemi tekrarlamanız gerekiyordu. Yaptınız mı?
Linux
awk -v cmd='openssl x509 -noout -subject -fingerprint -sha1' \
'/BEGIN/{close(cmd)};{print | cmd}' /etc/ssl/certs/ca-certificates.crt \
| grep -i -A1 "DigiCert Global Root G2"
Debian/Ubuntu
sudo apt update && sudo apt install --reinstall ca-certificates && sudo update-ca-certificates
RHEL/Rocky
sudo yum reinstall ca-certificates && sudo update-ca-trust extract
Java
keytool -list -keystore $JAVA_HOME/lib/security/cacerts \
-storepass changeit | grep -i "digicertglobalrootg2"
Uçtan Uca Test
openssl s_client -connect outlook-com.olc.protection.outlook.com:25 \
-starttls smtp -showcerts
görmüyorsanız zincirde eksik var.
Geçmişte Görülen Semptomlar
Eğer Mart–Nisan aralığında şu hataları gördüyseniz ve nedenini bulamadıysanız, cevabınız buydu:
Eğer Mart–Nisan aralığında şu hataları gördüyseniz ve nedenini bulamadıysanız, cevabınız buydu:
450 4.4.317 Cannot establish session with remote server
[Message=451 5.7.3 STARTTLS is required to send mail]
451 5.7.3 STARTTLS is required
5.7.0 Must issue a STARTTLS command first
Katı sertifika doğrulaması açık olan istemciler mail göndermeyi reddetti; izin verilen yerlerde şifrelenmemiş SMTP’ye düşüldü ki bu, kesintiden daha sinsi bir sonuç.
Asıl Mesele: Bu Bitmedi
G2 nihai durak değil.
- IBM, DigiCert G5 kök geçişi için ayrı bir hazırlık süreci yürütüyor. Yani sıradaki dalga şimdiden görünürde.
- Broadcom / Symantec tarafında Root CA değişikliği hâlâ aksiyon bekliyor.
- CA/Browser Forum, sertifika ömürlerini 2029’a kadar kademeli olarak 47 güne indiriyor.
47 gün, manuel sertifika yönetimini matematiksel olarak imkânsız kılıyor. Yılda bir kez takvime not düşülen bir işten, yılda sekiz kez tekrarlanan bir operasyona geçiyoruz.
Bu geçişten çıkarılacak asıl ders, G2’yi trust store’a eklemek değildi. Sertifika yaşam döngüsünü otomatikleştirmemiş olmanın artık bir seçenek olmadığıydı.
ACME/certbot, HashiCorp Vault PKI, Venafi ya da eşdeğeri bir çözümünüz yoksa, önümüzdeki iki yılda aynı yangını defalarca söndürmeye devam edeceksiniz.
Kontrol Listesi (Bugün İçin)
- TLS ile dışarı çıkan tüm sunucu, gateway, appliance ve container imajlarının envanterini çıkarın
- Her birinde G2’yi thumbprint doğrulayarak teyit edin
- Mart 2026 öncesi import edilmiş M365 bundle’larını güncel sürümle değiştirin
- Java
ve base image’ları ayrıca kontrol edin - G1’e yapılmış tüm pinning’leri temizleyin
- Şubat–Mayıs arası SMTP loglarınızda
/hatası var mı, geriye dönük tarayın - DigiCert G5 geçişi için hazırlık başlatın
- 47 gün senaryosu için sertifika otomasyon projesini gündeme alın
Kaynaklar:
- Microsoft Exchange Team Blog – Trust DigiCert Global Root G2
- SSL.com – Preparing for 47-Day SSL/TLS Certificates
- IBM – Preparing for DigiCert G5 Certificate Migration
- Broadcom – Action Required: Root CA Change for Symantec
- DigiCert – CertCentral G1/G2 Root Certificates Compatibility