در ۳۰ سپتامبر ۲۰۲۱ (۸ مهر ماه ۱۴۰۰)، تغییری جزیی در شیوهی اعتماد مرورگرها و دستگاههای قدیمی به گواهیهای Let’s Encrypt اتفاق میافتد. از آنجا که منبع گواهی SSL ابر آروان که به رایگان به کاربران ارایه میشود از نوع Let’s Encrypt است، بهتر است اگر از این قابلیت برای امن سازی دامنه وبسایت خود استفاده میکنید، از انقضای یکی از سرتیفیکیتهای ریشه Let’s Encrypt و اثرات این تغییر آگاه باشید.
در نظر داشته باشید که اگر یک وبسایت معمولی را مدیریت می کنید و کاربران بهوسیلهی مرورگر از وبسایت شما بازدید میکنند، با انقضای یکی از سرتیفیکیتهای ریشه Let’s Encrypt در ۸ام ماه مهر ۱۴۰۰، تفاوتی را احساس نخواهید کرد زیرا بیشتر بازدیدکنندگان شما همچنان گواهینامهی Let’s Encrypt شما را میپذیرند. اما اگر برای سرویس خود API ارایه میدهید و کلاینتهایی دارید که خارج از مرورگر و با API با سرویس شما ارتباط میگیرند و یا باید از دستگاه های IoT پشتیبانی کنید، تغییر پیش آمده ممکن است کاربران شما را تحت تاثیر قرار دهد.
گواهینامهی جدید Let’s Encrypt
منبع گواهینامههایی که ابر آروان در اختیار کاربران خود قرار میدهد از شرکت Let’s Encrypt است. هر گواهینامه امنیتی (SSL/TLS Certificate)باید بتواند اصالت خود را به مرورگر-سیستم عامل اثبات کند. این کار از طرق امضای امنیتی به وسیلهی گواهینامههای ریشهای (Root Certificate) انجام میشود که از قبل در مرورگر – سیستم عامل نصب شده است. هر گواهینامهی جدیدی که صادر میشود در صورتی که توسط یکی از گواهینامههای ریشه امضا(Sign) شده باشد مورد تایید قرار میگیرد و ارتباط امن بین کلاینت و سرور از طریق آن برقرار میشود.
در سال گذشته گواهینامههای Let’s Encrypt بر روی دستگاههای قدیمیتر در آستانه منقضی شدن بود که با ایجاد تغییری در سلسله مراتب امضا و تایید گواهینامهها این مشکل برطرف شد. برای مشاهده جزییات این موضوع میتوانید به اینجا مراجعه کنید.
گواهینامه های شرکت Let’s Encrypt دارای یک گواهی ریشه یا Root Certificate به نام ISRG Root X1 هستند و مرورگرها و دستگاههای مدرن به گواهی Let’s Encrypt نصب شده روی وب سایت شما اعتماد دارند زیرا گواهینامهی ریشهISRG Root X1 را در لیست گواهینامههای ریشهی خود موجود دارند.
اما در دستگاههای قدیمی که به روزرسانیهای جدید را دریافت نمیکنن این گواهینامه ریشه فعلی (ISRG Root X1) موجود نیست. برای رفع این مشکل برای اطمینان از اینکه گواهینامههایی که Let’s Encrypt صادر می کند در دستگاههای قدیمی نیز قابل اعتماد هستند و ارتباط امن میان کلاینت و سرور دچار اختلال نمیشود، امکانی به نام امضای متقابل (Cross Sign) به کمک یک گواهی ریشهی قدیمیتر، یعنی DST Root CA X3 مورد استفاده قرار گرفته است. شرکت Let’s Encrypt در شروع کار خود از گواهینامهی ریشهی قدیمی DST Root CA X3 استفاده کرد که باعث شد در دستگاههای بسیار زیادی مورد اعتماد قرار گیرد.
گواهینامهی ریشهی جدیدتر ISRG Root X1 هم اکنون بهشکل گستردهای به عنوان یک گواهینامه معتبر در دستگاه های مختلف ثبت شده است، هرچند برخی از دستگاههای قدیمی مانند iPhone 4 یا HTC Dream از آنجا که بهروزرسانی نرمافزاری را دریافت نمیکنند، هرگز به این گواهی اعتماد نخواهند کرد. برای مشاهدهی لیستی از سیستمعاملهایی که گواهینامه ISRG Root X1 در آنها ثبت شده است، میتوانید این مطلب را مطالعه کنید.
گواهینامهی ریشهی DST Root CA X3 در ۳۰ سپتامبر ۲۰۲۱ (۸ مهرماه ۱۴۰۰) منقضی میشود. به این ترتیب، دستگاههای قدیمی که به ISRG Root X1 اعتماد ندارند، هنگام بازدید از سایتهایی که از گواهینامهی Let’s Encrypt استفاده میکنند، اخطارهای مربوط به گواهی را دریافت خواهند کرد.
البته در اینجا یک استثنا مهم وجود دارد که باعث میشود با انقضای یکی از سرتیفیکیتهای ریشه Let’s Encrypt، دستگاههای قدیمی اندرویدی که به ISRG Root X1 اعتماد ندارند به دلیل امضای متقابل ویژهی DST Root CA X3، به کار با Let’s Encrypt ادامه دهند. این استثنا تنها برای دستگاههای مجهز به سیستمعامل Android وجود دارد.
چه اقداماتی باید انجام شود؟
برای بسیاری از کاربران نیاز به انجام هیچ اقدامی نیست زیرا صدور گواهینامه از سمت ابر آروان مانند همیشه انجام میشود، بنابراین وبسایت شما در بیشتر موارد بدون مشکل و با سازگاری با این بهروزرسانی، به کار خود ادامه خواهد داد.
با این حال، اگر شما ارایهدهندهی API هستید یا از دستگاههای IoT پشتیبانی میکنید، باید از دو مورد اطمینان حاصل کنید:
- تمام کاربران API شما باید هردو سرتیفیکیت ISRG Root X1 و DST Root CA X3 را در لیست گواهینامههای ریشه خود داشته باشند.
- اگر مشتریان API شما از OpenSSL استفاده می کنند، باید نسخهی 1.1.0 یا بالاتر را مورد استفاده قرار دهند. زیرا در نسخه های OpenSSL 1.0.x، مشکلی در تایید گواهینامه وجود دارد. در این حالت حتا کاربرانی که به ISRG Root X1 اعتماد دارند نیز با ارایهی زنجیرهی گواهینامهی سازگار با Android که بهشکل پیش فرض توصیه میشود، دچار مشکل خواهند بود.
17 دیدگاه
گواهینامههای پولی این مشکل رو ندارند؟
سلام سعید جان. خیر. گواهینامههای پولی این مشکل رو ندارن.
سلام
در خط یکی مانده به آخر کلمه ” حتی” به اشتباه ” حتا ” نوشته شده.
این کامنت صرفا جهت اطلاع بود و لطفا تایید نفرمایید.
سپاسگزارم.
سلام عماد عزیز. ممنون از بازخورد شما ولی اشتباه ننوشتیم. ما در سایت ابر آروان کامل توضیح دادیم در مورد آروانی نوشتن.
سلام خسته نباشید
من الان کاربر ویندوز 7 starter هستم آیا مشکلی واسم پیش میاد؟
سلام محمد جان. برای کاربران ویندوز بالاتر از XP سرویس پک ۳ مشکلی پیش نمیاد.
برای حل مشکل certificate has expired چکار باید کرد در اتصال به وب سرویس در سایت php
محمد جان سلام. اگه بخواید به پشتیبانی از اندرویدهای قدیمی ادامه بدید، باید سرتیفیکیت بخرید.
برای کاربران هم مینوشتید الان برای من یه سری سایت ها باز نمیشه، مخصوصا تصاویرش مشکل از طرف من هست یا سایت های اونا؟ چکار باید بکنیم ؟
کاربر عزیز سلام. باید با سایت مد نظرتون تماس بگیرید و این مشکل رو مطرح کنید.
برای حل این مشکل در اندروید چکار ی باید انجام شود؟
بهمن جان سلام. باید سرتیفیکیتی غیر از Let’s Encrypt خریداری بشه.
سلام
برای سایتی (با وب سرور آپای) که API ارائه میده و خودش هم از API استفاده میکنه، برای چند ساعتی هنگام ارسال درخواست های curl خطای Peer’s Certificate issuer is not recognized دریافت می شد و بعد از چند ساعت به خودی خود مشکل برطرف شد، آیا دلیل بروز این مشکل می تونه استفاده از Let’s Encrypt باشه؟ و ممکنه باز هم این مشکل بروز کند؟
سلام کاربر عزیز. این مشکل نمیتونه به خاطر Let’s Encrypt باشه. چون اون خطا دایمی هست و برطرف نمیشه.
سلام من اون پایین گفتم که آیا چیزی نمیشه؟ وشما گفتید نه ولی من الان از اون موقع مشکل دارم برای ورود به سایت ها و ارور
connection is not private
رو دارم و وقت رو not secure کلیک می کنم که مشکل رو ببینم میزنه certificate is not valid و میگه اکسپایر شده
من الان تو ورود به خیلی از سایت ها مشکل دارم
الان چی کار کنم؟
محمد جان سلام. باید دستگاهتون رو آپگریت کنید.
سلام ، تو جند مورد از مشتریانی که اپلیکیشن مارو نصب کردن زمان لاگین با خطای java.security.cert.CertPathValidatorException: Trust anchor for certification path not found مواجه شده اند جلبه تو دو سه مورد بوده بقیه مشکلی ندارند آیا این مشکل میتونه از این قضیه باشه؟ اره حل اینه ssl خریداری کنیم؟؟؟