چرا نباید از اس اس ال رایگان استفاده کرد، در حالی که تقریباً در تمام هاستینگ ها، SSL رایگان let’s encrypt ارائه می شود؟ علت اصلی ناسازگاری ای نوع گواهینامه بر روی برخی دستگاه های قدیمی است.
اخیراً برخی سایت ها که از اس اس ال رایگان استفاده می کنند، در دستگاه های مختلف، با اعلان هشدار ناامن بودن گواهینامه ssl رایگان مواجه می شوند. متن ارور your connection is not private است که البته در این اعلان هیچ عبارتی از اینکه مشکل از رایگان بودن نسخه اس اس ال است، بیان نمی شود و ارور مانند تصویر زیر است.
در مقاله آموزش رفع خطای Your connection is not private بصورت کامل به حل ارور your connection is not private پرداخته ایم.
توجه نمایید که این ارور در زمانی اتفاق می افتد که گواهینامه اس اس ال سایت شما به پایان رسیده باشد و یا اینکه تنظیمات آن صحیح نباشد.
اما در صورتی که مدت زمان و تنظیمات صحیح است و فقط در برخی دستگاه ها مشکل اس اس ال وجود دارد، ادامه مقاله را نیز مطالعه نمایید.
درواقع مشکل از نوع گواهینامه اس اس ال است.
توضیحات کامل در مورد مشکل اتصال شما خصوصی نیست “your connection is not private” را نوشته ایم و برای آن یک راهکار نیز معرفی کرده ایم. با ما همراه باشید.
آنچه در این مقاله می خوانید :
دلیل هشدار ناامن بودن ssl رایگان در برخی سایتها چیست؟
ممکن است شما از اس اس ال رایگان در سایت خود استفاده می کنید، اما چرا نباید از اس اس ال رایگان استفاده کرد؟ علت اصلی این است که در برخی دستگاه ها، سایت شما با ارور مربوط به اس اس ال مواجه می شود.
گوگل در آپدیت های جدید خود برای سئوی بهینه وب سایت ها، امن بودن سایت را از نظر نصب اس اس ال جزء موارد ضروری عنوان کرده است. البته وجود این گواهینامه ssl خود عامل افزایش امنیت وردپرس است.
- گواهینامه Ssl چیست؟ معرفی کامل گواهینامه اس اس ال
- حل مشکلات اس اس ال (ssl) بصورت آنلاین با سایت whynopadlock
ولی در تاریخ 30 سپتامبر سال 2021 در نمایش قفل امنیتی در سایتها رخ داد که نگرانیهایی را برای صاحبان سایتهایی که از گواهینامههای ssl رایگان شرکت Let’s Encrypt استفاده میکردند، ایجاد نمود.
افراد با اعلان هشدار روی لینک سایت که در مرورگرها نشان داده میشد، سریعاً به دنبال رفع این خطا افتادند و بعضیها نیز از گواهینامه اس اس ال غیر رایگان استفاده نمودند. در این مطلب میخواهیم بدانیم علت بروز این خطا چه بوده است.
مشکل از اس اس ال شرکت Let’s Encrypt که مرجع ارائه SSL رایگان است
Let’s Encrypt یک «گواهی ریشه» به نام ISRG Root X1 دارد. مرورگرها و دستگاههای مدرن گواهی Let’s Encrypt که روی وبسایت شما نصب میشود را قبول میکنند، زیرا ISRG Root X1 را در لیست گواهیهای اصلی خود قرار میدهند.
برای اطمینان از اینکه گواهیهایی که صادر میکنیم در دستگاههای قدیمیتر قابلاعتماد هستند، ما همچنین یک «امضای چندجانبه» از یک گواهی ریشه قدیمی به نام DST Root CA X3 داریم.
با تغییراتی که Let’s Encrypt در تعویض این گواهی ریشه از DST Root CA X3 به ISRG Root X1 اعمال کرد، مشکلاتی در برخی مرورگرها و سیستمها رخ داد.
طوری که مرورگرهای قدیمی نتوانستند با این تغییر سازگار شوند و عملا این گواهی ssl را تایید نکردند، این بهاینعلت بود که آنها نمیتوانستند آپدیتهای نرمافزار را در دستگاههایی که دارای نسخههای سیستمعامل قدیمی مانند اندروید 5 و 7 و ویندوز Xp سرویس پک 3 بودند، دریافت نمایند.
علت اصلی مشکل اس اس ال رایگان
این مورد بیشتر در کاربرانی دیدهشده که از مرورگر کروم استفاده میکنند، زیرا فایرفاکس نسخه موبایل گواهی ریشه ISRG Root X1 را در لیست گواهیهای معتبر شناخته است.
DST Root CA X3 در 30 سپتامبر 2021 منقضی شد و دیگر روی دستگاهها و مرورگرهای قدیمی کار نخواهد کرد. این بدان معناست که دستگاههای قدیمیتری که به ISRG Root X1 اعتماد ندارند، هنگام بازدید از سایتهایی که از گواهیهای Let’s Encrypt استفاده میکنند، هشدارهای ناامن بودن سایت را دریافت میکنند.
در این تغییر رخداده البته یک استثنای مهم وجود دارد: دستگاههای اندرویدی قدیمیتر که به ISRG Root X1 اعتماد ندارند، به لطف ارتباط دوجانبه ویژه DST Root CA X3 که پس از انقضای روت اعمالشده، به کار با Let’s Encrypt ادامه خواهند داد. این استثنا فقط برای اندروید کار میکند.
برای رفع خطا اس اس ال رایگان چه کاری باید کرد؟
باید بگوییم که عملا کار خاصی نیاز نیست انجام دهید، چون این تغییر روی مرورگرهای قدیمی مانند اکسپلورر اعمالشده و با بهروزرسانی سیستمهای خود طبق برنامههای جدید دیگر این مشکل در مرورگرها نشان داده نخواهد شد.
Let’s Encrypt اعلان کرده که این تغییرات را طوری اعمال کرده که در اکثر موارد هشدار خطای ناامن بودن سایت برای کاربران نشان داده نخواهد شد و وبسایت شما در بیشتر موارد بهدرستی کار میکند.
اگر یک API ارائه میدهید یا مجبور هستید از دستگاههای IoT پشتیبانی کنید، باید از دو چیز مطمئن شوید:
(1) همه مشتریان API شما باید به ISRG Root X1 (نهفقط DST Root CA X3) اعتماد کنند و
(2) اگر مشتریان API شما از OpenSSL استفاده میکنند، آنها باید از نسخه 1.1.0 یا بالاتر استفاده کنند.
در OpenSSL 1.0.x، تغییر ناگهانی در تأیید گواهی به این معنی است که حتی مشتریانی که به ISRG Root X1 اعتماد دارند، در صورت ارائه زنجیره گواهی سازگار با اندروید که بهطور پیشفرض توصیه میکنیم، شکست خواهند خورد.
راهکار نهایی استفاده از اس اس ال تجاری است
همچنان بسیاری از کاربران از سیستم هایی استفاده می کنند که نسخه های آنها قدیمی است. اگر از دستگاههایی استفاده شود که سیستمعامل هایشان قدیمی است، نمی توان از کاربران درخواست کرد که لطفاً سیستمعامل را ارتقا دهید. بهتر است در این مواقع از گواهینامه اس اس ال تجاری استفاده شود تا مشکلات احتمالی ایجاد نشود.
این نکته را نیز باید در نظر داشت که بسیاری از کاربران در زمان بازدید از سایت که با این مشکل مواجه می شوند، دیگر سایت شما را باز نمی کنند. در یک مقاله دیگر باگ امنیتی گواهینامه SSL رایگان را هم توضیح داده ایم.
در صورت تمایل برای نصب اس اس ال رایگان در هاست، آموزش های زیر را بر اساس هاست خود مشاهده نمایید.
منبع : letsencrypt.org