احتمالا شما هم در چند روز گذشته هنگام مشاهده سایت خود با خطای SSL یا همان TLS Warning را برخورد کرده اید. این قطعا وضعیت نا مطلوبی است اما سوال این است که چگونه می توان بدون هزینه این مشکل را بر طرف نمود ؟
Let’s Encrypt ، یکی از مراجه مرجع صدور گواهینامه های SSL (CA ) می باشد که توسط گروه تحقیقاتی امنیت اینترنت (ISRG) اداره می شود و تا کنون حدود ۱۱۶ میلیون گواهینامه SSL فعال صادر کرده است. این شرکت این هفته در گزارشی اعلام کرد که در فرآیند اعتبار سنجی کنترل دامنه های خود یک حفره امنیتی یا همان Bug پیدا کرده است، در نتیجه ، آنها امروز حدود ۳ میلیون گواهی SSL خود را لغو کردند.
حدود ۲.۶ درصد از کل گواهی های صادر شده توسط Let’s Encrypt توسط این شرکت باطل گردید. گواهی های SSL عمدتا یکساله صادر می شوند ولی گواهی های Let’s Encrypt به صورت ۳ ماهه صادر می گردند و به صورت خودکار هر ۳ ماه تمدید می گردند و این موضوع به کاهش میزان گواهینامه هایی که مجدداً تجدید می شوند ، کمک خواهد کرد در واقع تعداد گواهی هایی که باید ابطال و مجددا صادر شوند را کاهش می دهد.
گواهی های دارای این باگ دقیقا چه مشکلی ایجاد می کنند؟
Let’s Encrypt محبوب ترین مرجع جهت صدور گواهی نامه های SSL می باشد (دلیل این محبوبیت قطعا چیزی نیست جز راحت بودن و رایگان بودن گواهی نامه های این شرکت). همانطور که در بالا اشاره شد گواهی نامه های این شرکت به صورت ۹۰ روزه صادر می گردند و ۳۰ روز قبل از تاریخ انقضا به صورت خودکار تمدید می گردند. اما اگر به هر دلیلی این تمدید خودکار صورت نگیرد و مالک سایت نیز به صورت دستی اقدام به تمدید نکند سایت به مدت ۶۰ روز با گواهی باطل شده به فعالیت خود ادامه می دهد.
ممکن است از خود بپرسید: چه کسی تحت تأثیر این موضوع قرار می گیرد؟ آیا وب سایت من از این مسئله رنج خواهد برد؟ چگونه می توانم اقدام کنم؟ ما در ادامه به سوالات شما پاسخ می دهیم
عواقب این حفره امنیتی Let’s Encrypt چیست ؟
برای درک بهتر مسئله ، باید در مورد رکورد CAA بدانید. CAA نوعی رکورد DNS است که به اندازه رکورد A یا CNAME مشهور نیست ، اما برای صنعت SSL بسیار حیاتی است. شرکت های صادر کننده گواهی SSL از طریق این رکورد می توانند اقدام به احراز هویت دامنه نمایند و بر اساس آن گواهی SSL را برای دامنه مربوطه صادر نمایند.
هنگامی که قصد دریافت گواهی SSL را دارید ، ابتدا شرکت صادر کننده گواهی (CA) سوابق CAA رکورد را بررسی می کند و از شما خواسته می شود که ثابت کنید که مالک دامنه هستید. اکثر کاربران Let’s Encrypt درست پس از تأیید کنترل دامنه درخواست صدور گواهی SSL را صادر کنند. همانطور که در اینجا توضیح داده شده است بیایید اعتبار دامنه را برای ۳۰ روز و رکورر CAA را به مدت ۸ ساعت در نظر بگیرید.
فرض کنید که می خواهید گواهی SSL را برای یک دامنه ۹ ساعت پس از احراز هویت دامنه صادر کنید. دیگر لازم نیست دامنه را تأیید کنید ، از شما در مورد رکورد CAA پرسیده می شود تا مطمئن شوند که دامنه مجاز به داشتن گواهی SSL است که از طرف CA برای شما گواهی SSL صادر شده است. در اینجا کار کمی پیچیده می شود
برخی از انواع گواهینامه های SSL می توانند چندین نام دامنه را پوشش دهند. اشکال در این قسمت اتفاق می افتد. به جای بررسی رکورد CAA مربوطه به هر نام دامنه برای تأیید اینکه کدام یک از دامنه گواهینامه SSL را پوشش می دهد ، Let’s Encrypt فقط یکی از نام دامنه ها را بررسی کند ، نه همه را و این درحالی است که CAA رکورد باید برای تک تک دامنه ها بررسی شود نه فقط یک دامنه.
از آنجا که این احتمال وجود دارد که Let’s Encrypt گواهینامه های SSL مورد نظر خود را به درستی صادر نکرده باشد، آنها همه گواهینامه هایی را که دارای چک مجدد مناسب CAA نبودند، بطور خاص ، دقیقا تعداد ۳,۰۴۸,۲۸۹ گواهی را باطل کردند.
در صورتی که می خواهید چک کنید گواهی شما جز این ۳ میلیون گواهی باطل شده است می توانید از طریق این سایت اقدام به بررسی نمایید فقط کافی است دامنه خود را در آنجا وارد نمایید.
گواهی SSL من باطل شده است ، چه کنم؟
ر این حالت باید درخواست صدور مجدد گواهی SSL نمایید. این امر تا حد زیادی به نرم افزاری که برای صدور گواهینامه SSL استفاده می کنید بستگی دارد. برای کاربران Certbot ، اجرای مجدد certbot – power- از طریق خط فرمان امکان پذیر است. برای کاربران cPanel که از AutoSSL استفاده می کنند ، باید گواهی را از حساب cPanel خود حذف کنید و سپس AutoSSL را اجرا کنید تا گواهی جدید برای شما صادر شود.
توصیه کلی ما این است که با ارائه دهنده هاستینگ خود تماس بگیرید تا آنها این مشکل را برای شما حل نمایند.
جهت سفارش گواهی SSL از این لینک اقدام نمایید.
