تغییرات جدید در ارایه گواهی SSL رایگان Let’s Encrypt

نوشته شده توسط مدیر سایت در تاریخ 13 اکتبر 2021 در خبر های سایت

همانطور که مستحضر هستید ، ایکس زد ان هاستینگ از سال ها پیش بر روی سرویس های حرفه ای هاستینگ خود به کاربران گواهی SSL رایگانی ارایه می کند که سرویس دهنده آن Let’s Encrypt هست .

در تاریخ ۳۰ سپتامبر ۲۰۲۱ (۸ مهر ماه ۱۴۰۰)، تغییری جزیی در  اعتماد به مرورگرها و دستگاه‌های قدیمی به گواهی‌های Let’s Encrypt اتفاق افتاد که در این مقاله در این خصوص توضیحاتی ارایه می شود .

گواهی‌نامه های شرکت Let’s Encrypt دارای یک گواهی ریشه یا Root Certificate به نام ISRG Root X1 هستند و مرورگرها و دستگاه‌های مدرن به گواهی Let’s Encrypt نصب شده روی وب سایت شما اعتماد دارند زیرا گواهینامه‌ی ریشه ISRG Root X1  را در لیست گواهی‌ نامه‌ های ریشه‌ خود موجود دارند.

اما در دستگاه‌های قدیمی که به روزرسانی‌ های جدید را دریافت نمی کنند این گواهینامه ریشه فعلی  (ISRG Root X1) موجود نیست. برای رفع این مشکل برای اطمینان از این‌ که گواهی‌ نامه‌ هایی که Let’s Encrypt صادر می کند در دستگاه‌های قدیمی نیز قابل اعتماد هستند و ارتباط امن میان کلاینت و سرور دچار اختلال نمی‌شود، امکانی به نام امضای متقابل (Cross Sign) به کمک یک گواهی ریشه‌ی قدیمی‌ تر، یعنی DST Root CA X3 مورد استفاده قرار گرفته است. شرکت Let’s Encrypt در شروع کار خود از گواهی‌نامه‌ی ریشه‌ی قدیمی DST Root CA X3 استفاده کرد که باعث شد در دستگاه‌های بسیار زیادی مورد اعتماد قرار گیرد.

گواهی‌ نامه‌ ریشه‌ جدیدتر ISRG Root X1 هم اکنون به‌ شکل گسترده‌ ای به عنوان یک گواهینامه معتبر در دستگاه های مختلف ثبت شده است، هرچند برخی از دستگاه‌های قدیمی مانند iPhone 4 یا HTC Dream از آنجا که به‌روزرسانی نرم‌ افزاری را دریافت نمی‌کنند، هرگز به این گواهی اعتماد نخواهند کرد. برای مشاهده‌ لیستی از سیستم‌ عامل‌ هایی که گواهینامه ISRG Root X1 در آنها ثبت شده است، در ادامه آورده شده است.

 

سیستم عامل هایی که به ISRG Root X1 اعتماد دارند :

مرورگرها (Chrome ، Safari ، Edge ، Opera) عموماً به همان گواهینامه های ریشه ای که سیستم عامل آنها در آن اجرا می کند ، اعتماد می کنند. فایرفاکس یک استثنا است: این فروشگاه ریشه مخصوص خود را دارد. به زودی ، نسخه های جدید Chrome نیز فروشگاه اصلی خود را خواهند داشت.
سیستم عامل هایی که به DST Root CA X3 اعتماد دارند اما به ISRG Root X1 اعتماد ندارند :
این پلتفرم ها تا سپتامبر ۲۰۲۱ کار می کردند اما دیگر گواهی های Let’s Encrypt را معتبر نمی دانند.
  • macOS < 10.12.1
  • iOS < 10
  • Mozilla Firefox < 50
  • Ubuntu >= precise / 12.04 and < xenial / 16.04
  • Debian >= squeeze / 6 and < jessie /8
  • Java 8 >= 8u101 and < 8u141
  • Java 7 >= 7u111 and < 7u151
  • NSS >= v3.11.9 and < 3.26
  • Amazon FireOS (Silk Browser) (version range unknown)
  • Cyanogen > v10 (version that added ISRG Root X1 unknown)
  • Jolla Sailfish OS > v1.1.2.16 (version that added ISRG Root X1 unknown)
  • Kindle > v3.4.1 (version that added ISRG Root X1 unknown)
  • Blackberry >= 10.3.3 (version that added ISRG Root X1 unknown)
  • PS4 game console with firmware >= 5.00 (version that added ISRG Root X1 unknown)

 

و موارد زیر نا سازگار شناخته شده اند :

 

  • Blackberry < v10.3.3
  • Android < v2.3.6
  • Nintendo 3DS
  • Windows XP prior to SP3
    • cannot handle SHA-2 signed certificates
  • Java 7 < 7u111
  • Java 8 < 8u101
  • Windows Live Mail (2012 mail client, not webmail)
    • cannot handle certificates without a CRL
  • PS3 game console
  • PS4 game console with firmware < 5.00

گواهی‌ نامه‌  ریشه‌  DST Root CA X3 در ۳۰ سپتامبر ۲۰۲۱ (۸ مهرماه ۱۴۰۰) منقضی گردید. به این ترتیب، دستگاه‌ های قدیمی که به ISRG Root X1 اعتماد ندارند، هنگام بازدید از سایت‌هایی که از گواهی‌نامه‌ی Let’s Encrypt استفاده می‌کنند، اخطارهای مربوط به گواهی‌ را دریافت خواهند کرد.

البته یک استثنا مهم وجود دارد که باعث می‌شود با انقضای یکی از سرتیفیکیت‌ های ریشه Let’s Encrypt، دستگاه‌های قدیمی اندرویدی که به ISRG Root X1 اعتماد ندارند به دلیل امضای متقابل ویژه‌ی DST Root CA X3، به کار با Let’s Encrypt ادامه دهند. این استثنا تنها برای دستگاه‌های مجهز به سیستم‌عامل Android وجود دارد.

 

در این خصوص چه کاری می توانیم انجام دهیم ؟

در خصوص کاربران واقعا این امکان نیست که از همه کاربران با دستگاه های قدیمی درخواست شود که گواهی ریشه جدید را نصب کنند . در این خصوص اگر شما از api یا سرویسی استفاده می کنید که حتما می بایست در همه دستگاه ها با ssl پاسخگو باشد می توانید از گواهی های SSL تجاری که توسط ایکس زد ان هاستینگ ارایه می شود استفاده نمایید .

خرید گواهی SSL

 

بازتاب از سایت