انقضای یکی از سرتیفیکیت‌های ریشه Let’s Encrypt

در ۳۰ سپتامبر ۲۰۲۱ (۸ مهر ماه ۱۴۰۰)، تغییری جزیی در شیوه‌ی اعتماد مرورگرها و دستگاه‌های قدیمی به گواهی‌های Let’s Encrypt اتفاق می‌افتد. از آنجا که منبع گواهی SSL ابر آروان که به رایگان به کاربران ارایه می‌شود از نوع Let’s Encrypt است، بهتر است اگر از این قابلیت برای امن سازی دامنه وبسایت خود استفاده می‌کنید، از انقضای یکی از سرتیفیکیت‌های ریشه Let’s Encrypt و اثرات این تغییر آگاه باشید.

مدل امضای سرتیفیکیت‌های Let's Encrypt و سرتیفیکیت‌های ریشه آن
مدل امضای سرتیفیکیت‌های Let’s Encrypt و سرتیفیکیت‌های ریشه آن

 

در نظر داشته باشید که اگر یک وب‌سایت معمولی را مدیریت می کنید و کاربران به‌وسیله‌ی مرورگر از وب‌سایت شما بازدید می‌کنند، با انقضای یکی از سرتیفیکیت‌های ریشه Let’s Encrypt در ۸ام ماه مهر ۱۴۰۰، تفاوتی را احساس نخواهید کرد زیرا بیش‌تر بازدیدکنندگان شما هم‌چنان گواهی‌نامه‌ی Let’s Encrypt  شما را می‌پذیرند. اما اگر برای سرویس خود API ارایه می‌دهید و کلاینت‌هایی دارید که خارج از مرورگر و با API با سرویس شما ارتباط می‌گیرند و یا باید از دستگاه های IoT پشتیبانی کنید، تغییر پیش آمده ممکن است کاربران شما را تحت تاثیر قرار دهد.

 

گواهی‌نامه‌ی جدید Let’s Encrypt

منبع گواهی‌نامه‌هایی که ابر آروان در اختیار کاربران خود قرار می‌دهد از شرکت Let’s Encrypt است. هر گواهینامه امنیتی (SSL/TLS Certificate)باید بتواند اصالت خود را به مرورگر-سیستم عامل اثبات کند. این کار از طرق امضای امنیتی‌ به وسیله‌ی گواهینامه‌های ریشه‌ای (Root Certificate) انجام میشود که از قبل در مرورگر – سیستم عامل نصب شده است. هر گواهینامه‌ی جدیدی که صادر میشود در صورتی که توسط یکی از گواهینامه‌های ریشه امضا(Sign) شده باشد مورد تایید قرار می‌گیرد و ارتباط امن بین کلاینت و سرور از طریق آن برقرار می‌شود.

در سال گذشته گواهینامه‌های Let’s Encrypt بر روی دستگاه‌های قدیمی‌تر در آستانه منقضی شدن بود که با ایجاد تغییری در سلسله مراتب امضا و تایید گواهینامه‌ها این مشکل برطرف شد. برای مشاهده جزییات این موضوع می‌توانید به اینجا مراجعه کنید.

گواهی‌نامه های شرکت Let’s Encrypt دارای یک گواهی ریشه یا Root Certificate به نام ISRG Root X1 هستند و مرورگرها و دستگاه‌های مدرن به گواهی Let’s Encrypt نصب شده روی وب سایت شما اعتماد دارند زیرا گواهینامه‌ی ریشهISRG Root X1  را در لیست گواهی‌نامه‌های ریشه‌ی خود موجود دارند.

اما در دستگاه‌های قدیمی که به روزرسانی‌های جدید را دریافت نمیکنن این گواهینامه ریشه فعلی  (ISRG Root X1) موجود نیست. برای رفع این مشکل برای اطمینان از این‌که گواهی‌نامه‌هایی که Let’s Encrypt صادر می کند در دستگاه‌های قدیمی نیز قابل اعتماد هستند و ارتباط امن میان کلاینت و سرور دچار اختلال نمی‌شود، امکانی به نام امضای متقابل (Cross Sign) به کمک یک گواهی ریشه‌ی قدیمی‌تر، یعنی DST Root CA X3 مورد استفاده قرار گرفته است. شرکت Let’s Encrypt در شروع کار خود از گواهی‌نامه‌ی ریشه‌ی قدیمی DST Root CA X3 استفاده کرد که باعث شد در دستگاه‌های بسیار زیادی مورد اعتماد قرار گیرد.
گواهی‌نامه‌ی ریشه‌ی جدیدتر ISRG Root X1 هم اکنون به‌شکل گسترده‌ای به عنوان یک گواهینامه معتبر در دستگاه های مختلف ثبت شده است، هرچند برخی از دستگاه‌های قدیمی مانند iPhone 4 یا HTC Dream از آنجا که به‌روزرسانی نرم‌افزاری را دریافت نمی‌کنند، هرگز به این گواهی اعتماد نخواهند کرد. برای مشاهده‌ی لیستی از سیستم‌عامل‌هایی که گواهینامه ISRG Root X1 در آنها ثبت شده است، می‌توانید این مطلب را مطالعه کنید.
گواهی‌نامه‌ی ریشه‌ی DST Root CA X3 در ۳۰ سپتامبر ۲۰۲۱ (۸ مهرماه ۱۴۰۰) منقضی می‌شود. به این ترتیب، دستگاه‌های قدیمی که به ISRG Root X1 اعتماد ندارند، هنگام بازدید از سایت‌هایی که از گواهی‌نامه‌ی Let’s Encrypt استفاده می‌کنند، اخطارهای مربوط به گواهی‌ را دریافت خواهند کرد.
البته در این‌جا یک استثنا مهم وجود دارد که باعث می‌شود با انقضای یکی از سرتیفیکیت‌های ریشه Let’s Encrypt، دستگاه‌های قدیمی اندرویدی که به ISRG Root X1 اعتماد ندارند به دلیل امضای متقابل ویژه‌ی DST Root CA X3، به کار با Let’s Encrypt ادامه دهند. این استثنا تنها برای دستگاه‌های مجهز به سیستم‌عامل Android وجود دارد.

 

چه اقداماتی باید انجام شود؟

برای بسیاری از کاربران نیاز به انجام هیچ اقدامی نیست زیرا صدور گواهی‌نامه از سمت ابر آروان مانند همیشه انجام می‌شود، بنابراین وب‌سایت شما در بیش‌تر موارد بدون مشکل و با سازگاری با این به‌روزرسانی، به کار خود ادامه خواهد داد.

با این حال، اگر شما ارایه‌دهنده‌ی API هستید یا از دستگاه‌های IoT پشتیبانی می‌کنید، باید از دو مورد اطمینان حاصل کنید:

  • تمام کاربران API شما باید هردو سرتیفیکیت ISRG Root X1 و DST Root CA X3 را در لیست گواهینامه‌های ریشه خود داشته باشند.
  • اگر مشتریان API شما از OpenSSL استفاده می کنند، باید نسخه‌ی 1.1.0 یا بالاتر را مورد استفاده قرار دهند. زیرا در نسخه های  OpenSSL 1.0.x، مشکلی در تایید گواهی‌نامه وجود دارد. در این حالت حتا کاربرانی که به ISRG Root X1 اعتماد دارند نیز با ارایه‌ی زنجیره‌ی گواهی‌نامه‌ی سازگار با Android که به‌شکل پیش فرض توصیه می‌شود، دچار مشکل خواهند بود.

ارسال پاسخ

نشانی ایمیل شما منتشر نخواهد شد.

17 پاسخ در “انقضای یکی از سرتیفیکیت‌های ریشه Let’s Encrypt از ۸ مهر ماه ۱۴۰۰”

  • ۴ مهر ۱۴۰۰ در۵:۵۰ ب٫ظ

    گواهینامه‌های پولی این مشکل رو ندارند؟

    • آرش ترابی
      ۶ مهر ۱۴۰۰ در۳:۲۶ ب٫ظ

      سلام سعید جان. خیر. گواهی‌نامه‌های پولی این مشکل رو ندارن.

  • عماد
    ۶ مهر ۱۴۰۰ در۱۱:۳۱ ب٫ظ

    سلام
    در خط یکی مانده به آخر کلمه ” حتی” به اشتباه ” حتا ” نوشته شده.

    این کامنت صرفا جهت اطلاع بود و لطفا تایید نفرمایید.

    سپاسگزارم.

    • آرش ترابی
      ۱۰ مهر ۱۴۰۰ در۱۲:۰۹ ب٫ظ

      سلام عماد عزیز. ممنون از بازخورد شما ولی اشتباه ننوشتیم. ما در سایت ابر آروان کامل توضیح دادیم در مورد آروانی نوشتن.

  • محمد
    ۸ مهر ۱۴۰۰ در۱۱:۵۱ ب٫ظ

    سلام خسته نباشید
    من الان کاربر ویندوز 7 starter هستم آیا مشکلی واسم پیش میاد؟

    • آرش ترابی
      ۱۰ مهر ۱۴۰۰ در۱۲:۰۸ ب٫ظ

      سلام محمد جان. برای کاربران ویندوز بالاتر از XP سرویس پک ۳ مشکلی پیش نمیاد.

  • محمد
    ۹ مهر ۱۴۰۰ در۱۱:۱۵ ق٫ظ

    برای حل مشکل certificate has expired چکار باید کرد در اتصال به وب سرویس در سایت php

    • آرش ترابی
      ۱۰ مهر ۱۴۰۰ در۱۲:۰۷ ب٫ظ

      محمد جان سلام. اگه بخواید به پشتیبانی از اندرویدهای قدیمی ادامه بدید، باید سرتیفیکیت بخرید.

  • ش
    ۹ مهر ۱۴۰۰ در۸:۰۷ ب٫ظ

    برای کاربران هم مینوشتید الان برای من یه سری سایت ها باز نمیشه، مخصوصا تصاویرش مشکل از طرف من هست یا سایت های اونا؟ چکار باید بکنیم ؟

    • آرش ترابی
      ۱۰ مهر ۱۴۰۰ در۱۲:۰۵ ب٫ظ

      کاربر عزیز سلام. باید با سایت مد نظرتون تماس بگیرید و این مشکل رو مطرح کنید.

  • بهمن
    ۱۰ مهر ۱۴۰۰ در۱:۵۶ ب٫ظ

    برای حل این مشکل در اندروید چکار ی باید انجام شود؟

    • آرش ترابی
      ۱۷ مهر ۱۴۰۰ در۱۱:۱۶ ق٫ظ

      بهمن جان سلام. باید سرتیفیکیتی غیر از Let’s Encrypt خریداری بشه.

    • اسدی
      ۱۸ مهر ۱۴۰۰ در۱۰:۱۰ ق٫ظ

      سلام
      برای سایتی (با وب سرور آپای) که API ارائه میده و خودش هم از API استفاده میکنه، برای چند ساعتی هنگام ارسال درخواست های curl خطای Peer’s Certificate issuer is not recognized دریافت می شد و بعد از چند ساعت به خودی خود مشکل برطرف شد، آیا دلیل بروز این مشکل می تونه استفاده از Let’s Encrypt باشه؟ و ممکنه باز هم این مشکل بروز کند؟

      • آرش ترابی
        ۲۱ مهر ۱۴۰۰ در۱۰:۱۲ ق٫ظ

        سلام کاربر عزیز. این مشکل نمی‌تونه به خاطر Let’s Encrypt باشه. چون اون خطا دایمی هست و برطرف نمی‌شه.

  • محمد
    ۱۰ آبان ۱۴۰۰ در۱:۱۳ ب٫ظ

    سلام من اون پایین گفتم که آیا چیزی نمیشه؟ وشما گفتید نه ولی من الان از اون موقع مشکل دارم برای ورود به سایت ها و ارور
    connection is not private
    رو دارم و وقت رو not secure کلیک می کنم که مشکل رو ببینم میزنه certificate is not valid و میگه اکسپایر شده
    من الان تو ورود به خیلی از سایت ها مشکل دارم
    الان چی کار کنم؟

    • آرش ترابی
      ۲۲ آبان ۱۴۰۰ در۱۲:۳۲ ب٫ظ

      محمد جان سلام. باید دستگاه‌تون رو آپگریت کنید.

  • ۱۶ آبان ۱۴۰۰ در۸:۲۴ ب٫ظ

    سلام ، تو جند مورد از مشتریانی که اپلیکیشن مارو نصب کردن زمان لاگین با خطای java.security.cert.CertPathValidatorException: Trust anchor for certification path not found مواجه شده اند جلبه تو دو سه مورد بوده بقیه مشکلی ندارند آیا این مشکل میتونه از این قضیه باشه؟ اره حل اینه ssl خریداری کنیم؟؟؟