Microsoft 365 kullanan bazı sistem yöneticileri, Exchange Online Protection üzerinden SMTP relay kullanan Linux sunucularda son haftalarda TLS doğrulama hatalarıyla karşılaşmaya başladı. Sorunun, Exchange Online’ın bazı MX sunucularında hâlâ eski DigiCert sertifika zincirinin sunulmasından kaynaklandığı öne sürülüyor. Microsoft Exchange Online TLS sorunu özellikle Ubuntu’nun güncel sertifika paketlerini kullanan sistemlerde e-posta gönderimini durdurabiliyor.

Güncel Linux Sertifikaları Eski Kök Sertifikayı Güvenilir Görmüyor

Ubuntu 22.04 üzerinde en güncel ca-certificates paketiyle yapılan testlerde, mail.protection.outlook.com adresine STARTTLS üzerinden bağlanıldığında OpenSSL doğrulaması başarısız oluyor. Test sonucunda “Verify return code: 20 (unable to get local issuer certificate)” hatası alınırken bağlantının sunduğu sertifika zincirinde DigiCert Cloud Services CA-1 ile DigiCert Global Root CA yer alıyor. Sorunun temelinde ise Mozilla güven deposundan kaldırılan eski DigiCert Global Root G1 güven zinciri bulunuyor. Mozilla’nın aldığı karar sonrasında güncel Ubuntu sertifika paketleri artık bu kök sertifikaya güvenmiyor. Linux SMTP doğrulama hatası da tam olarak bu değişiklikten sonra görülmeye başladı.

Yapılan karşılaştırmalarda smtp.office365.com sunucusuna 587 numaralı port üzerinden bağlanıldığında TLS doğrulaması sorunsuz tamamlanıyor. Çünkü bu uç nokta yeni DigiCert Global Root G2 sertifika zincirini kullanıyor. Sorun yalnızca Exchange Online Protection’ın *.mail.protection.outlook.com MX sunucularında çalışan SMTP relay hizmetinde görülüyor. Aynı tenant üzerinde farklı Microsoft servislerinin farklı sertifika zincirleri sunması, problemin istemci tarafındaki yapılandırmadan ziyade Microsoft’un ilgili altyapısıyla bağlantılı olabileceğine işaret ediyor.

Sorunu Microsoft desteğine ileten sistem yöneticisi, ilk aşamada Microsoft’tan “artık G1 kök sertifikası kullanılmıyor” yanıtını aldı. Ancak OpenSSL çıktıları aynı sertifika zincirinin hâlâ sunulduğunu gösterince destek süreci farklı açıklamalarla devam etti. Microsoft destek ekibi daha sonra işletim sistemi sertifikalarının yönetiminin kendi destek kapsamlarında olmadığını belirtti. Ardından kullanılan işletim sistemi sürümü ile Microsoft tenant’ı arasındaki ilişkinin yeniden açıklanması istendi. Sorunu ayrıntılı teknik çıktılarla defalarca paylaşan kullanıcı açısından süreç herhangi bir çözüme ulaşmadı.

Reddit Ve Nextcloud Topluluklarında Aynı Hata Raporlandı

Yaşanan problem tek bir kuruma özgü görünmüyor. Reddit’te açılan başlıklarda Laravel uygulamalarının yaklaşık haziran ortasından itibaren STARTTLS bağlantılarında sertifika doğrulama hatası verdiği belirtiliyor. Nextcloud topluluğunda yayımlanan teknik inceleme de aynı davranışı doğrularken geçici çözüm olarak eski DigiCert sertifikalarının sisteme manuel eklenmesini öneriyor. Ancak uzmanlar bu yöntemin güven zincirini geriye taşıdığı için uzun vadede tercih edilmemesi gerektiğini vurguluyor.

SMTP relay kullanan birçok Linux tabanlı kurumsal sistem, sertifika doğrulamasını varsayılan olarak sıkı şekilde uyguladığı için benzer sorunlardan etkilenebiliyor. Özellikle Postfix, Exim, Laravel Mail, Nextcloud Mail ile benzeri sistemlerde güncel sertifika depoları kullanılıyorsa bağlantılar başarısız olabiliyor.

Şimdilik kalıcı çözümün Microsoft tarafından Exchange Online Protection üzerindeki sertifika zincirinin güncellenmesi olduğu değerlendiriliyor. Güvenlik uzmanları, eski kök sertifikaları manuel olarak sisteme geri eklemenin yalnızca geçici bir yöntem olduğunu, bunun güvenlik politikasını zayıflatabileceğini belirtiyor. Kurumsal BT ekiplerinin, Exchange Online SMTP relay altyapısını kullanan Linux sunucularında TLS bağlantılarını kontrol etmesi, OpenSSL testleriyle sertifika zincirini doğrulaması ile Microsoft tarafından yayımlanabilecek olası güncellemeleri takip etmesi önem taşıyor.