چرا نباید از اس اس ال رایگان استفاده کرد

چرا نباید از اس اس ال رایگان استفاده کرد، در حالی که تقریباً در تمام هاستینگ ها، SSL رایگان let’s encrypt ارائه می شود؟ علت اصلی ناسازگاری ای نوع گواهینامه بر روی برخی دستگاه های قدیمی است.

اخیراً برخی سایت ها که از اس اس ال رایگان استفاده می کنند، در دستگاه های مختلف، با اعلان هشدار ناامن بودن گواهینامه ssl رایگان مواجه می شوند. متن ارور your connection is not private است که البته در این اعلان هیچ عبارتی از اینکه مشکل از رایگان بودن نسخه اس اس ال است، بیان نمی شود و ارور مانند تصویر زیر است.

در مقاله آموزش رفع خطای Your connection is not private بصورت کامل به حل ارور your connection is not private پرداخته ایم.

توجه نمایید که این ارور در زمانی اتفاق می افتد که گواهینامه اس اس ال سایت شما به پایان رسیده باشد و یا اینکه تنظیمات آن صحیح نباشد.

اما در صورتی که مدت زمان و تنظیمات صحیح است و فقط در برخی دستگاه ها مشکل اس اس ال وجود دارد، ادامه مقاله را نیز مطالعه نمایید.

درواقع مشکل از نوع گواهینامه اس اس ال است.

توضیحات کامل در مورد مشکل اتصال شما خصوصی نیست “your connection is not private” را نوشته ایم و برای آن یک راهکار نیز معرفی کرده ایم. با ما همراه باشید.

دلیل هشدار ناامن بودن ssl رایگان در برخی سایت‌ها چیست؟

ممکن است شما از اس اس ال رایگان در سایت خود استفاده می کنید، اما چرا نباید از اس اس ال رایگان استفاده کرد؟ علت اصلی این است که در برخی دستگاه ها، سایت شما با ارور مربوط به اس اس ال مواجه می شود.

گوگل در آپدیت های جدید خود برای سئوی بهینه وب سایت ها، امن بودن سایت را از نظر نصب اس اس ال جزء موارد ضروری عنوان کرده است. البته وجود این گواهینامه ssl خود عامل افزایش امنیت وردپرس است.

• گواهینامه Ssl چیست؟ معرفی کامل گواهینامه اس اس ال
• حل مشکلات اس اس ال (ssl) بصورت آنلاین با سایت whynopadlock

ولی در تاریخ 30 سپتامبر سال 2021 در نمایش قفل امنیتی در سایت‌ها رخ داد که نگرانی‌هایی را برای صاحبان سایت‌هایی که از گواهینامه‌های ssl رایگان شرکت Let’s Encrypt استفاده می‌کردند، ایجاد نمود.

افراد با اعلان هشدار روی لینک سایت که در مرورگرها نشان داده می‌شد، سریعاً به دنبال رفع این خطا افتادند و بعضی‌ها نیز از گواهینامه‌ اس اس ال غیر رایگان استفاده نمودند. در این مطلب می‌خواهیم بدانیم علت بروز این خطا چه بوده است.

• معرفی انواع گواهینامه SSL

مشکل از اس اس ال شرکت Let’s Encrypt که مرجع ارائه SSL رایگان است

Let’s Encrypt یک «گواهی ریشه» به نام ISRG Root X1 دارد. مرورگرها و دستگاه‌های مدرن گواهی Let’s Encrypt که روی وب‌سایت شما نصب می‌شود را قبول می‌کنند، زیرا ISRG Root X1 را در لیست گواهی‌های اصلی خود قرار می‌دهند.

برای اطمینان از اینکه گواهی‌هایی که صادر می‌کنیم در دستگاه‌های قدیمی‌تر قابل‌اعتماد هستند، ما همچنین یک «امضای چندجانبه» از یک گواهی ریشه قدیمی به نام DST Root CA X3 داریم.

با تغییراتی که Let’s Encrypt در تعویض این گواهی ریشه از DST Root CA X3 به ISRG Root X1 اعمال کرد، مشکلاتی در برخی مرورگرها و سیستم‌ها رخ داد.

طوری که مرورگرهای قدیمی نتوانستند با این تغییر سازگار شوند و عملا این گواهی ssl را تایید نکردند، این به‌این‌علت بود که آن‌ها نمی‌توانستند آپدیت‌های نرم‌افزار را در دستگاه‌هایی که دارای نسخه‌های سیستم‌عامل قدیمی مانند اندروید 5 و 7 و ویندوز Xp سرویس پک 3 بودند، دریافت نمایند.

علت اصلی مشکل اس اس ال رایگان

این مورد بیشتر در کاربرانی دیده‌شده که از مرورگر کروم استفاده می‌کنند، زیرا فایرفاکس نسخه موبایل گواهی ریشه ISRG Root X1 را در لیست گواهی‌های معتبر شناخته است.

DST Root CA X3 در 30 سپتامبر 2021 منقضی شد و دیگر روی دستگاه‌ها و مرورگرهای قدیمی کار نخواهد کرد. این بدان معناست که دستگاه‌های قدیمی‌تری که به ISRG Root X1 اعتماد ندارند، هنگام بازدید از سایت‌هایی که از گواهی‌های Let’s Encrypt استفاده می‌کنند، هشدارهای ناامن بودن سایت را دریافت می‌کنند.

در این تغییر رخ‌داده البته یک استثنای مهم وجود دارد: دستگاه‌های اندرویدی قدیمی‌تر که به ISRG Root X1 اعتماد ندارند، به لطف ارتباط دوجانبه ویژه DST Root CA X3 که پس از انقضای روت اعمال‌شده، به کار با Let’s Encrypt ادامه خواهند داد. این استثنا فقط برای اندروید کار می‌کند.

برای رفع خطا اس اس ال رایگان چه کاری باید کرد؟

باید بگوییم که عملا کار خاصی نیاز نیست انجام دهید، چون این تغییر روی مرورگرهای قدیمی مانند اکسپلورر اعمال‌شده و با به‌روزرسانی سیستم‌های خود طبق برنامه‌های جدید دیگر این مشکل در مرورگرها نشان داده نخواهد شد.

• تفاوت اس اس ال ssl رایگان و غیر رایگان

Let’s Encrypt اعلان کرده که این تغییرات را طوری اعمال کرده که در اکثر موارد هشدار خطای ناامن بودن سایت برای کاربران نشان داده نخواهد شد و وب‌سایت شما در بیشتر موارد به‌درستی کار می‌کند.

اگر یک API ارائه می‌دهید یا مجبور هستید از دستگاه‌های IoT پشتیبانی کنید، باید از دو چیز مطمئن شوید:

(1) همه مشتریان API شما باید به ISRG Root X1 (نه‌فقط DST Root CA X3) اعتماد کنند و

(2) اگر مشتریان API شما از OpenSSL استفاده می‌کنند، آن‌ها باید از نسخه 1.1.0 یا بالاتر استفاده کنند.

در OpenSSL 1.0.x، تغییر ناگهانی در تأیید گواهی به این معنی است که حتی مشتریانی که به ISRG Root X1 اعتماد دارند، در صورت ارائه زنجیره گواهی سازگار با اندروید که به‌طور پیش‌فرض توصیه می‌کنیم، شکست خواهند خورد.

راهکار نهایی استفاده از اس اس ال تجاری است

همچنان بسیاری از کاربران از سیستم هایی استفاده می کنند که نسخه های آنها قدیمی است. اگر از دستگاه‌هایی استفاده شود که سیستم‌عامل هایشان قدیمی است، نمی  توان از کاربران درخواست کرد که لطفاً سیستم‌عامل را ارتقا دهید. بهتر است در این مواقع از گواهینامه اس اس ال تجاری استفاده شود تا مشکلات احتمالی ایجاد نشود.

• خدمات تخصصی نصب و راه اندازی اس اس ال ssl

این نکته را نیز باید در نظر داشت که بسیاری از کاربران در زمان بازدید از سایت که با این مشکل مواجه می شوند، دیگر سایت شما را باز نمی کنند. در یک مقاله دیگر باگ امنیتی گواهینامه SSL رایگان را هم توضیح داده ایم.

در صورت تمایل برای نصب اس اس ال رایگان در هاست، آموزش های زیر را بر اساس هاست خود مشاهده نمایید.

• نصب SSL رایگان در سی پنل
• نصب SSL رایگان در دایرکت ادمین

منبع : letsencrypt.org