Arvan Blog

بلاگ

اتفاقات روزمره، اخبار مهم و دیگر مطالب ابر آروان

Open Categories
Close Categories
دسته‌بندی‌های بلاگ دسته‌بندی‌های بلاگ دسته‌بندی‌های بلاگ

Date ۴ مهر ۱۴۰۰
Category خبر
Avatar صابر مسگری
Date ۴ مهر ۱۴۰۰
Category خبر
انقضای یکی از سرتیفیکیت‌های ریشه Let’s Encrypt

در ۳۰ سپتامبر ۲۰۲۱ (۸ مهر ماه ۱۴۰۰)، تغییری جزیی در شیوه‌ی اعتماد مرورگرها و دستگاه‌های قدیمی به گواهی‌های Let’s Encrypt اتفاق می‌افتد. از آنجا که منبع گواهی SSL ابر آروان که به رایگان به کاربران ارایه می‌شود از نوع Let’s Encrypt است، بهتر است اگر از این قابلیت برای امن سازی دامنه وبسایت خود استفاده می‌کنید، از انقضای یکی از سرتیفیکیت‌های ریشه Let’s Encrypt و اثرات این تغییر آگاه باشید.

مدل امضای سرتیفیکیت‌های Let's Encrypt و سرتیفیکیت‌های ریشه آن

مدل امضای سرتیفیکیت‌های Let’s Encrypt و سرتیفیکیت‌های ریشه آن

 

در نظر داشته باشید که اگر یک وب‌سایت معمولی را مدیریت می کنید و کاربران به‌وسیله‌ی مرورگر از وب‌سایت شما بازدید می‌کنند، با انقضای یکی از سرتیفیکیت‌های ریشه Let’s Encrypt در ۸ام ماه مهر ۱۴۰۰، تفاوتی را احساس نخواهید کرد زیرا بیش‌تر بازدیدکنندگان شما هم‌چنان گواهی‌نامه‌ی Let’s Encrypt  شما را می‌پذیرند. اما اگر برای سرویس خود API ارایه می‌دهید و کلاینت‌هایی دارید که خارج از مرورگر و با API با سرویس شما ارتباط می‌گیرند و یا باید از دستگاه های IoT پشتیبانی کنید، تغییر پیش آمده ممکن است کاربران شما را تحت تاثیر قرار دهد.

 

گواهی‌نامه‌ی جدید Let’s Encrypt

منبع گواهی‌نامه‌هایی که ابر آروان در اختیار کاربران خود قرار می‌دهد از شرکت Let’s Encrypt است. هر گواهینامه امنیتی (SSL/TLS Certificate)باید بتواند اصالت خود را به مرورگر-سیستم عامل اثبات کند. این کار از طرق امضای امنیتی‌ به وسیله‌ی گواهینامه‌های ریشه‌ای (Root Certificate) انجام میشود که از قبل در مرورگر – سیستم عامل نصب شده است. هر گواهینامه‌ی جدیدی که صادر میشود در صورتی که توسط یکی از گواهینامه‌های ریشه امضا(Sign) شده باشد مورد تایید قرار می‌گیرد و ارتباط امن بین کلاینت و سرور از طریق آن برقرار می‌شود.

در سال گذشته گواهینامه‌های Let’s Encrypt بر روی دستگاه‌های قدیمی‌تر در آستانه منقضی شدن بود که با ایجاد تغییری در سلسله مراتب امضا و تایید گواهینامه‌ها این مشکل برطرف شد. برای مشاهده جزییات این موضوع می‌توانید به اینجا مراجعه کنید.

گواهی‌نامه های شرکت Let’s Encrypt دارای یک گواهی ریشه یا Root Certificate به نام ISRG Root X1 هستند و مرورگرها و دستگاه‌های مدرن به گواهی Let’s Encrypt نصب شده روی وب سایت شما اعتماد دارند زیرا گواهینامه‌ی ریشهISRG Root X1  را در لیست گواهی‌نامه‌های ریشه‌ی خود موجود دارند.

اما در دستگاه‌های قدیمی که به روزرسانی‌های جدید را دریافت نمیکنن این گواهینامه ریشه فعلی  (ISRG Root X1) موجود نیست. برای رفع این مشکل برای اطمینان از این‌که گواهی‌نامه‌هایی که Let’s Encrypt صادر می کند در دستگاه‌های قدیمی نیز قابل اعتماد هستند و ارتباط امن میان کلاینت و سرور دچار اختلال نمی‌شود، امکانی به نام امضای متقابل (Cross Sign) به کمک یک گواهی ریشه‌ی قدیمی‌تر، یعنی DST Root CA X3 مورد استفاده قرار گرفته است. شرکت Let’s Encrypt در شروع کار خود از گواهی‌نامه‌ی ریشه‌ی قدیمی DST Root CA X3 استفاده کرد که باعث شد در دستگاه‌های بسیار زیادی مورد اعتماد قرار گیرد.
گواهی‌نامه‌ی ریشه‌ی جدیدتر ISRG Root X1 هم اکنون به‌شکل گسترده‌ای به عنوان یک گواهینامه معتبر در دستگاه های مختلف ثبت شده است، هرچند برخی از دستگاه‌های قدیمی مانند iPhone 4 یا HTC Dream از آنجا که به‌روزرسانی نرم‌افزاری را دریافت نمی‌کنند، هرگز به این گواهی اعتماد نخواهند کرد. برای مشاهده‌ی لیستی از سیستم‌عامل‌هایی که گواهینامه ISRG Root X1 در آنها ثبت شده است، می‌توانید این مطلب را مطالعه کنید.
گواهی‌نامه‌ی ریشه‌ی DST Root CA X3 در ۳۰ سپتامبر ۲۰۲۱ (۸ مهرماه ۱۴۰۰) منقضی می‌شود. به این ترتیب، دستگاه‌های قدیمی که به ISRG Root X1 اعتماد ندارند، هنگام بازدید از سایت‌هایی که از گواهی‌نامه‌ی Let’s Encrypt استفاده می‌کنند، اخطارهای مربوط به گواهی‌ را دریافت خواهند کرد.
البته در این‌جا یک استثنا مهم وجود دارد که باعث می‌شود با انقضای یکی از سرتیفیکیت‌های ریشه Let’s Encrypt، دستگاه‌های قدیمی اندرویدی که به ISRG Root X1 اعتماد ندارند به دلیل امضای متقابل ویژه‌ی DST Root CA X3، به کار با Let’s Encrypt ادامه دهند. این استثنا تنها برای دستگاه‌های مجهز به سیستم‌عامل Android وجود دارد.

 

چه اقداماتی باید انجام شود؟

برای بسیاری از کاربران نیاز به انجام هیچ اقدامی نیست زیرا صدور گواهی‌نامه از سمت ابر آروان مانند همیشه انجام می‌شود، بنابراین وب‌سایت شما در بیش‌تر موارد بدون مشکل و با سازگاری با این به‌روزرسانی، به کار خود ادامه خواهد داد.

با این حال، اگر شما ارایه‌دهنده‌ی API هستید یا از دستگاه‌های IoT پشتیبانی می‌کنید، باید از دو مورد اطمینان حاصل کنید:

  • تمام کاربران API شما باید هردو سرتیفیکیت ISRG Root X1 و DST Root CA X3 را در لیست گواهینامه‌های ریشه خود داشته باشند.
  • اگر مشتریان API شما از OpenSSL استفاده می کنند، باید نسخه‌ی 1.1.0 یا بالاتر را مورد استفاده قرار دهند. زیرا در نسخه های  OpenSSL 1.0.x، مشکلی در تایید گواهی‌نامه وجود دارد. در این حالت حتا کاربرانی که به ISRG Root X1 اعتماد دارند نیز با ارایه‌ی زنجیره‌ی گواهی‌نامه‌ی سازگار با Android که به‌شکل پیش فرض توصیه می‌شود، دچار مشکل خواهند بود.

این مقاله را با دوستان خود به اشتراک بگذارید

پاسخ به لغو
Comments نظرات
Avatar بهمن ۱۰ مهر ۱۴۰۰
Reply پاسخ
برای حل این مشکل در اندروید چکار ی باید انجام شود؟
Reply Avatar اسدی ۱۸ مهر ۱۴۰۰
سلام برای سایتی (با وب سرور آپای) که API ارائه میده و خودش هم از API استفاده میکنه، برای چند ساعتی هنگام ارسال درخواست های curl خطای Peer's Certificate issuer is not recognized دریافت می شد و بعد از چند ساعت به خودی خود مشکل برطرف شد، آیا دلیل بروز این مشکل می تونه استفاده از Let's Encrypt باشه؟ و ممکنه باز هم این مشکل بروز کند؟
Reply Avatar آرش ترابی ۱۷ مهر ۱۴۰۰
بهمن جان سلام. باید سرتیفیکیتی غیر از Let's Encrypt خریداری بشه.
Avatar ش ۹ مهر ۱۴۰۰
Reply پاسخ
برای کاربران هم مینوشتید الان برای من یه سری سایت ها باز نمیشه، مخصوصا تصاویرش مشکل از طرف من هست یا سایت های اونا؟ چکار باید بکنیم ؟
Reply Avatar آرش ترابی ۱۰ مهر ۱۴۰۰
کاربر عزیز سلام. باید با سایت مد نظرتون تماس بگیرید و این مشکل رو مطرح کنید.
Avatar محمد ۹ مهر ۱۴۰۰
Reply پاسخ
برای حل مشکل certificate has expired چکار باید کرد در اتصال به وب سرویس در سایت php
Reply Avatar آرش ترابی ۱۰ مهر ۱۴۰۰
محمد جان سلام. اگه بخواید به پشتیبانی از اندرویدهای قدیمی ادامه بدید، باید سرتیفیکیت بخرید.
Avatar محمد ۸ مهر ۱۴۰۰
Reply پاسخ
سلام خسته نباشید من الان کاربر ویندوز 7 starter هستم آیا مشکلی واسم پیش میاد؟
Reply Avatar آرش ترابی ۱۰ مهر ۱۴۰۰
سلام محمد جان. برای کاربران ویندوز بالاتر از XP سرویس پک ۳ مشکلی پیش نمیاد.
Avatar عماد ۶ مهر ۱۴۰۰
Reply پاسخ
سلام در خط یکی مانده به آخر کلمه " حتی" به اشتباه " حتا " نوشته شده. این کامنت صرفا جهت اطلاع بود و لطفا تایید نفرمایید. سپاسگزارم.
Reply Avatar آرش ترابی ۱۰ مهر ۱۴۰۰
سلام عماد عزیز. ممنون از بازخورد شما ولی اشتباه ننوشتیم. ما در سایت ابر آروان کامل توضیح دادیم در مورد آروانی نوشتن.
Avatar سعید ۴ مهر ۱۴۰۰
Reply پاسخ
گواهینامه‌های پولی این مشکل رو ندارند؟
Reply Avatar آرش ترابی ۶ مهر ۱۴۰۰
سلام سعید جان. خیر. گواهی‌نامه‌های پولی این مشکل رو ندارن.
Avatar ۱۱ دی ۱۳۴۸
Reply پاسخ
Reply Avatar آرش ترابی ۲۱ مهر ۱۴۰۰
سلام کاربر عزیز. این مشکل نمی‌تونه به خاطر Let's Encrypt باشه. چون اون خطا دایمی هست و برطرف نمی‌شه.