Defaults.Exposed

Defaults.Exposed › گزارش‌ها

منقضی‌شده، خودامضا، نامعتبر: گزارش خطاهای گواهی (۲۰۲۶)

منتشرشده 2026-06-29

ارقام تا تاریخ 2026-06-29 · روش‌شناسی نسخه ۷. داده‌های سرشماری تجمیعی در میان 197 میلیون دامنه‌ای که گواهی TLS ارائه می‌دهند. «نامعتبر» = گواهی در اعتبارسنجی رد می‌شود (منقضی، خودامضا، نام میزبان اشتباه، یا زنجیره نامعتمد). ببینید چگونه نمره می‌دهیم.

داشتن گواهی با داشتن یک گواهی معتبر یکسان نیست: 8.57٪ از گواهی‌های وب در اعتبارسنجی رد می‌شوند. در میان 197 میلیون دامنه‌ای که گواهی TLS ارائه می‌دهند، 16,920,535 گواهی‌ای دارند که مرورگرها به آن اعتماد نمی‌کنند — و هر یک از آن‌ها به جای سایت، یک هشدار امنیتی تمام‌صفحه به بازدیدکنندگان نشان می‌دهند. در عصر گواهی‌های رایگان با تمدید خودکار، یک گواهی خراب تقریباً همیشه یک اشتباه قابل‌رفع است، نه یک مشکل هزینه‌ای.

واقعاً مشکل این گواهی‌ها چیست

یک گواهی به چند دلیل در اعتبارسنجی رد می‌شود — منقضی، خودامضا، صادرشده برای نام میزبان متفاوت، یا از یک زنجیره نامعتمد. قابل‌شناسایی‌ترین دسته در سرشماری خودامضا است:

مشکلدامنه‌ها
گواهی موجود اما نامعتبر (به هر دلیل)16,920,535 (8.57٪)
— که از آن میان خودامضا3,378,080 (20.0٪ از نامعتبرها)

یک گواهی خودامضا گواهی‌ای است که دامنه برای خودش صادر کرده است — ترافیک را رمزگذاری می‌کند اما چیزی را اثبات نمی‌کند، پس مرورگرها آن را رد می‌کنند. این مورد در دستگاه‌ها، ابزارهای داخلی و راه‌اندازی‌های آزمایشی که به‌طور تصادفی در معرض اینترنت عمومی قرار گرفته‌اند رایج است. باقی گواهی‌های نامعتبر بیشتر منقضی یا با نام میزبان ناهماهنگ هستند.

چرا یک گواهی خراب بدتر از نبود HTTPS است

سایتی بدون HTTPS یک برچسب آرام «امن نیست» می‌گیرد. سایتی با گواهی خراب یک صفحهٔ میانیِ قرمزِ تمام‌صفحه می‌گیرد — «اتصال شما خصوصی نیست» — که بیشتر بازدیدکنندگان از آن رد نخواهند شد. این سخت‌ترین سیگنال اعتمادی است که یک مرورگر نشان می‌دهد و پیش از بارگذاری محتوای شما فعال می‌شود. برای یک کسب‌وکار، این یک در بسته در لحظهٔ نخستین تماس است.

این مشکل قابل‌اجتناب هم هست: با مراجع صدور گواهی رایگان و تمدید خودکار که اکنون اکثریت بزرگ گواهی‌ها را صادر می‌کنند، یک گواهی معتبر هیچ هزینه‌ای ندارد و خودش تمدید می‌شود. آن 8.57٪ با گواهی خراب تقریباً همگی شکاف‌های پیکربندی هستند، نه شکاف‌های بودجه.

چگونه یک خطای گواهی را برطرف کنیم

  1. منقضی شده؟ تمدید را خودکار کنید (ACME / Let’s Encrypt) تا دیگر هرگز منقضی نشود. خطاهای گواهی را برطرف کنید.
  2. خودامضا؟ آن را با یک گواهی رایگانِ صادرشده توسط یک مرجع صدور گواهی جایگزین کنید — گواهی‌های خودامضا همیشه در مرورگرها هشدار خواهند داد.
  3. نام میزبان اشتباه؟ آن را با پوشش دادن دقیق نام‌هایی که ارائه می‌دهید (از جمله www) دوباره صادر کنید.
  4. تأیید کنید که زنجیره کامل و معتمد است، سپس با یک بازبینی مجدد تأیید کنید.

پرسش‌های پرتکرار

چرا یک گواهی نامعتبر می‌شود؟ بیشتر اوقات منقضی شده، خودامضا است، برای نام میزبان متفاوتی صادر شده، یا از یک زنجیره نامعتمد می‌آید. تا تاریخ 2026-06-29، 8.57٪ از گواهی‌ها به یکی از این دلایل در اعتبارسنجی رد می‌شوند.

گواهی خودامضا چیست؟ گواهی‌ای که سرور به جای دریافت از یک مرجع صدور گواهیِ معتمد، آن را برای خودش صادر کرده است. رمزگذاری می‌کند اما هیچ هویتی را اثبات نمی‌کند، پس مرورگرها آن را رد می‌کنند. 3,378,080 دامنه یکی از این‌ها را ارائه می‌دهند.

آیا یک گواهی خراب بدتر از نبود HTTPS است؟ بله — یک گواهی خراب یک هشدار مرورگرِ تمام‌صفحه را فعال می‌کند که سایت را مسدود می‌کند، در حالی که HTTP ساده یک برچسب درون‌خطیِ ملایم‌ترِ «امن نیست» می‌گیرد.

رفع آن چقدر هزینه دارد؟ هیچ. گواهی‌های معتبر رایگان هستند (Let’s Encrypt و دیگران) و خودکار تمدید می‌شوند. این یک رفع پیکربندی است.

بررسی کنید که گواهی شما معتبر است

گواهی‌ای که مرورگرها آن را رد می‌کنند، همین حالا برای شما بازدیدکننده هزینه دارد. مال خود را رایگان و خصوصی بررسی کنید.

دامنهٔ خود را بررسی کنید → · خطاهای گواهی را برطرف کنید → · چه کسی گواهی‌های وب را صادر می‌کند؟ → · چرا سایت من می‌گوید «امن نیست»؟ → · فقط داده‌های تجمیعی. داده‌ها در اتحادیهٔ اروپا ذخیره و پردازش می‌شوند.