تغییرات جدید در ارایه گواهی SSL رایگان Let’s Encrypt
همانطور که مستحضر هستید ، ایکس زد ان هاستینگ از سال ها پیش بر روی سرویس های حرفه ای هاستینگ خود به کاربران گواهی SSL رایگانی ارایه می کند که سرویس دهنده آن Let’s Encrypt هست .
در تاریخ ۳۰ سپتامبر ۲۰۲۱ (۸ مهر ماه ۱۴۰۰)، تغییری جزیی در اعتماد به مرورگرها و دستگاههای قدیمی به گواهیهای Let’s Encrypt اتفاق افتاد که در این مقاله در این خصوص توضیحاتی ارایه می شود .
گواهینامه های شرکت Let’s Encrypt دارای یک گواهی ریشه یا Root Certificate به نام ISRG Root X1 هستند و مرورگرها و دستگاههای مدرن به گواهی Let’s Encrypt نصب شده روی وب سایت شما اعتماد دارند زیرا گواهینامهی ریشه ISRG Root X1 را در لیست گواهی نامه های ریشه خود موجود دارند.
اما در دستگاههای قدیمی که به روزرسانی های جدید را دریافت نمی کنند این گواهینامه ریشه فعلی (ISRG Root X1) موجود نیست. برای رفع این مشکل برای اطمینان از این که گواهی نامه هایی که Let’s Encrypt صادر می کند در دستگاههای قدیمی نیز قابل اعتماد هستند و ارتباط امن میان کلاینت و سرور دچار اختلال نمیشود، امکانی به نام امضای متقابل (Cross Sign) به کمک یک گواهی ریشهی قدیمی تر، یعنی DST Root CA X3 مورد استفاده قرار گرفته است. شرکت Let’s Encrypt در شروع کار خود از گواهینامهی ریشهی قدیمی DST Root CA X3 استفاده کرد که باعث شد در دستگاههای بسیار زیادی مورد اعتماد قرار گیرد.
گواهی نامه ریشه جدیدتر ISRG Root X1 هم اکنون به شکل گسترده ای به عنوان یک گواهینامه معتبر در دستگاه های مختلف ثبت شده است، هرچند برخی از دستگاههای قدیمی مانند iPhone 4 یا HTC Dream از آنجا که بهروزرسانی نرم افزاری را دریافت نمیکنند، هرگز به این گواهی اعتماد نخواهند کرد. برای مشاهده لیستی از سیستم عامل هایی که گواهینامه ISRG Root X1 در آنها ثبت شده است، در ادامه آورده شده است.
سیستم عامل هایی که به ISRG Root X1 اعتماد دارند :
- Windows >= XP SP3 (assuming Automatic Root Certificate Update isn’t manually disabled)
- macOS >= 10.12.1
- iOS >= 10 (iOS 9 does not include it)
- iPhone 5 and above can upgrade to iOS 10 and can thus trust ISRG Root X1
- Android >= 7.1.1 (but Android >= 2.3.6 will work by default due to our special cross-sign)
- Mozilla Firefox >= 50.0
- Ubuntu >= xenial / 16.04 (with updates applied)
- Debian >= jessie / 8 (with updates applied)
- Java 8 >= 8u141
- Java 7 >= 7u151
- NSS >= 3.26
- macOS < 10.12.1
- iOS < 10
- Mozilla Firefox < 50
- Ubuntu >= precise / 12.04 and < xenial / 16.04
- Debian >= squeeze / 6 and < jessie /8
- Java 8 >= 8u101 and < 8u141
- Java 7 >= 7u111 and < 7u151
- NSS >= v3.11.9 and < 3.26
- Amazon FireOS (Silk Browser) (version range unknown)
- Cyanogen > v10 (version that added ISRG Root X1 unknown)
- Jolla Sailfish OS > v1.1.2.16 (version that added ISRG Root X1 unknown)
- Kindle > v3.4.1 (version that added ISRG Root X1 unknown)
- Blackberry >= 10.3.3 (version that added ISRG Root X1 unknown)
- PS4 game console with firmware >= 5.00 (version that added ISRG Root X1 unknown)
و موارد زیر نا سازگار شناخته شده اند :
- Blackberry < v10.3.3
- Android < v2.3.6
- Nintendo 3DS
- Windows XP prior to SP3
- cannot handle SHA-2 signed certificates
- Java 7 < 7u111
- Java 8 < 8u101
- Windows Live Mail (2012 mail client, not webmail)
- cannot handle certificates without a CRL
- PS3 game console
- PS4 game console with firmware < 5.00
گواهی نامه ریشه DST Root CA X3 در ۳۰ سپتامبر ۲۰۲۱ (۸ مهرماه ۱۴۰۰) منقضی گردید. به این ترتیب، دستگاه های قدیمی که به ISRG Root X1 اعتماد ندارند، هنگام بازدید از سایتهایی که از گواهینامهی Let’s Encrypt استفاده میکنند، اخطارهای مربوط به گواهی را دریافت خواهند کرد.
البته یک استثنا مهم وجود دارد که باعث میشود با انقضای یکی از سرتیفیکیت های ریشه Let’s Encrypt، دستگاههای قدیمی اندرویدی که به ISRG Root X1 اعتماد ندارند به دلیل امضای متقابل ویژهی DST Root CA X3، به کار با Let’s Encrypt ادامه دهند. این استثنا تنها برای دستگاههای مجهز به سیستمعامل Android وجود دارد.
در این خصوص چه کاری می توانیم انجام دهیم ؟
در خصوص کاربران واقعا این امکان نیست که از همه کاربران با دستگاه های قدیمی درخواست شود که گواهی ریشه جدید را نصب کنند . در این خصوص اگر شما از api یا سرویسی استفاده می کنید که حتما می بایست در همه دستگاه ها با ssl پاسخگو باشد می توانید از گواهی های SSL تجاری که توسط ایکس زد ان هاستینگ ارایه می شود استفاده نمایید .
بازتاب از سایت
