Defaults.Exposed › رفع اشکال‌ها › TLS certificate health

چطور TLS certificate health را رفع کنید

Q: من تکنیکی نیستم — آیا میتوانم خودم این را حل کنم؟

نیازی نیست رمزنگاری را بفهمید. یک گواهینامهی معتبر رایگان است (از طریق Let's Encrypt و بیشتر هاستهای مدرن)، و در هاستینگ مدیریت شده معمولاً خودکار است. بخش 'چگونه آن را رفع کنیم' را به هر کسی که وبسایت یا هاستینگ شما را اجرا میکند بدهید.

Q: سایتم قفل نشان میدهد — مگر گواهینامهام خوب نیست؟

قفل فقط یعنی اتصال امن الان وجود دارد. نمیگوید گواهینامه در حال انقضاست، روی کلید قوی ساخته شده، یا فردا هم توسط مرورگرها قابل اعتماد خواهد بود. این بررسی چهار چیزی را که واقعاً قفل را روشن نگه میدارند بررسی میکند.

Q: آیا باید برای گواهینامه SSL پول بدهم؟

نه. گواهینامههای رایگان از Let's Encrypt (و ساخته شده در Cloudflare، cPanel AutoSSL، و بیشتر هاستینگهای مدرن) توسط هر مرورگری قابل اعتماد هستند و دقیقاً به اندازهی گواهینامههای پولی امن هستند.

Q: یک گواهینامه 'self-signed' چیست و چرا شکست میخورد؟

یک گواهینامهی self-signed یکی است که خودتان صادر کردهاید نه از یک مرجع شناخته شده. اتصال را رمزگذاری میکند، اما هیچچیزی تأیید نمیکند که واقعاً شما هستید — پس مرورگرها آن را غیرقابل اعتماد تلقی میکنند.

Q: کلید ضعیف و الگوریتم امضای ضعیف واقعاً برای کسبوکار من چه معنایی دارند؟

هر دو راههایی هستند که یک گواهینامه ممکن است امروز از نظر فنی معتبر باشد اما از نظر رمزنگاری شکننده باشد. گواهینامههای رایگان مدرن به طور پیشفرض از کلیدها و امضاهای قوی استفاده میکنند، پس اصلاح تقریباً همیشه فقط صدور مجدد است — بدون هزینه.

گواهینامه‌ی SSL/TLS کارت شناسایی دیجیتالی است که ثابت می‌کند بازدیدکننده واقعاً با وب‌سایت شما در ارتباط است — نه یک جاعل — و قفل مرورگر را فعال می‌کند. این بررسی می‌بیند آیا آن گواهینامه معتبر و قابل اعتماد است، در آستانه‌ی انقضا نیست، و با رمزنگاری قوی و مدرن ساخته شده.

نتیجه نهایی برای کسب‌وکار شما: یک گواهینامه‌ی شکسته یا منقضی شده، وب‌سایت شما را با یک هشدار قرمز تمام صفحه‌ی 'اتصال شما خصوصی نیست' در هر مرورگری جایگزین می‌کند. بیشتر بازدیدکنندگان فوری می‌روند و برنمی‌گردند — فروش آنلاین متوقف می‌شود، ثبت‌نام متوقف می‌شود، و اتصالی که قرار بود خصوصی باشد می‌تواند به‌آرامی رهگیری شود.

هزینه این برای شما

گواهینامه‌ی شما به‌آرامی یک آخر هفته منقضی می‌شود؛ تا دوشنبه هر بازدیدکننده‌ای با یک هشدار امنیتی تمام صفحه مواجه می‌شود، فرم‌های خروج و تماس مرده‌اند، و برای هر ساعتی که برای متوجه شدن و تجدید طول می‌کشد فروش از دست می‌رود.
یک مشتری در حال پرداخت از WiFi کافه یا هتل یک هشدار دریافت می‌کند که گواهینامه‌ی شما با دامنه‌ی شما مطابقت ندارد — آن‌ها فرض می‌کنند سایت شما جعلی یا هک شده است.
تیم IT یک مشتری بزرگ‌تر اسکن امنیتی قبل از قرارداد اجرا می‌کند، یک گواهینامه‌ی self-signed یا غیرقابل اعتماد می‌بیند، و شما را به عنوان ریسک علامت‌گذاری می‌کند.
گواهینامه‌ی شما از روش امضای قدیمی یا کلید ضعیف استفاده می‌کند؛ مرورگرهای مدرن شروع به نمایش هشدار روی آن می‌کنند.
پرداخت با کارت قبول می‌کنید و ارائه‌دهنده‌ی پرداخت شما دوباره بررسی می‌کند؛ کلید ضعیف یا گواهینامه‌ی منقضی شده قوانین امنیت پرداخت را نقض می‌کند.

چرا اهمیت دارد. گواهینامه قابل مشاهده‌ترین بخش امنیت وب‌سایت شماست — وقتی سالم است نامرئی است، و وقتی می‌شکند با یک هشدار ترسناک کل سایت شما را می‌گیرد که مشتریان را مستقیم به رقبا می‌راند. انقضای گواهینامه اول‌ترین علت خرابی‌های غیرمنتظره‌ی وب‌سایت است، و کاملاً قابل پیشگیری است.

این چیست، به زبان ساده

وقتی کسی از وب‌سایت شما بازدید می‌کند، دو اتفاق باید بیفتد تا احساس امنیت کنند. اول، اتصال باید رمزگذاری شده باشد. دوم — و این بخشی است که مردم فراموش می‌کنند — مرورگر بازدیدکننده باید مطمئن باشد که واقعاً وب‌سایت شما در آن طرف است، نه یک جاعل که یک کپی قانع‌کننده راه‌اندازی کرده. چیزی که هر دو کار را انجام می‌دهد گواهینامه‌ی TLS شما (که اغلب «گواهینامه‌ی SSL» نامیده می‌شود) است.

این بررسی سلامت آن کارت شناسایی را در چهار چیز که هر کدام مستقلاً آن را می‌شکنند بررسی می‌کند:

آیا معتبر و قابل اعتماد است؟ — صادر شده از یک مرجع شناخته شده، مطابق با دامنه‌ی دقیق شما، self-signed نیست، و منقضی نشده.
آیا در شرف انقضا است؟ — چون گواهینامه‌ای که منقضی می‌شود کل سایت شما را از کار می‌اندازد.
آیا با روش قوی امضا شده؟ — الگوریتم‌های امضای قدیمی می‌توانند جعل شوند.
آیا کلیدش به اندازه‌ی کافی قوی است؟ — کلید ضعیف می‌تواند در اصل شکسته شود.

خبر خوب: گرفتن یک گواهینامه‌ی سالم رایگان است، و نگه داشتن آن سالم بیشتر درباره‌ی گذاشتن آن است تا خودش تجدید شود تا هیچ انسانی نیازی به یادآوری نداشته باشد.

این چقدر ممکن است برای شما هزینه داشته باشد

خرابی آخر هفته. یک گواهینامه در یک جمعه منقضی می‌شود. تجدیدی که باید اجرا می‌شد اجرا نشد. تا صبح شنبه هر بازدیدکننده — و هر خزنده‌ی Google — به جای صفحه‌ی اول یک هشدار قرمز می‌بیند.
خروج از پرداخت. یک مشتری از تلفنش در WiFi هتل خرید می‌کند. گواهینامه‌ی شما دقیقاً با دامنه‌ای که تایپ کردند مطابقت ندارد. مرورگر هشدار می‌دهد که سایت «ممکن است هویت شما را جعل کند». به یک خریدار غیرتکنیکی این به عنوان کلاهبرداری خوانده می‌شود.
قرارداد متوقف شده. تیم امنیتی یک مشتری بزرگ‌تر اسکن معمول قبل از امضا اجرا می‌کند. یک گواهینامه‌ی self-signed یا غیرقابل اعتماد در یکی از زیردامنه‌های شما پیدا می‌شود.
شکست انطباق. پرداخت با کارت قبول می‌کنید. در یک بررسی مجدد، ارائه‌دهنده‌ی شما یک کلید ضعیف یا گواهینامه‌ی منقضی شده را علامت‌گذاری می‌کند و پرداخت آنلاین شما معلق می‌شود.

در واقع چیست (چهار بخش)

۱. معتبر و قابل اعتماد

این مهم‌ترین است. یک گواهینامه فقط زمانی «معتبر و قابل اعتماد» است که همه‌ی اینها درست باشند:

توسط یک مرجع گواهی‌دهی شناخته شده صادر شده (Let’s Encrypt، DigiCert، Sectigo، Google، Amazon).
با دامنه‌ی دقیق استفاده شده توسط بازدیدکننده مطابقت دارد.
self-signed نیست.
در محدوده‌ی تاریخ فعلی است.
زنجیره‌ی اعتماد آن سالم است.

۲. در شرف انقضا نیست

هر گواهینامه یک تاریخ انتهای سخت دارد. گواهینامه‌های رایگان معمولاً ۹۰ روز دوام دارند. بعد از تاریخ، اعتماد فوری از بین می‌رود.

«خوب» چه شکلی است: یک گواهینامه‌ی خودکار مدیریت‌شده که بدون دخالت هیچ‌کس خودش را تجدید می‌کند.

۳. الگوریتم امضای قوی

هر گواهینامه با یک الگوریتم رمزنگاری «امضا» می‌شود. الگوریتم‌های قدیمی — MD5 و SHA-1 — نشان داده شده‌اند که قابل جعل هستند. این بررسی زمانی قبول می‌شود که گواهینامه از امضای قوی و مدرن استفاده کند: SHA-256 یا قوی‌تر.

۴. کلید قوی

اندازه‌های پذیرفته شده حداقل 2048-bit RSA یا 256-bit elliptic-curve (EC) هستند.

چگونه آن را رفع کنیم (رایگان، ~۱۵ دقیقه)

این بخش را به هر کسی که وب‌سایت یا هاستینگ شما را اجرا می‌کند بدهید — اصلاح رایگان است.

مرحله ۱ — یک گواهینامه‌ی رایگان و قابل اعتماد بگیرید (یا جایگزین کنید). این تنها مرحله اعتبار، امضا و قدرت کلید را همه به یکباره رفع می‌کند.

Cloudflare: در SSL/TLS → Overview، حالت را روی Full (Strict) تنظیم کنید.
cPanel host: به دنبال SSL/TLS Status بگردید و AutoSSL را اجرا کنید.
Site builders (Squarespace، Wix، Shopify): SSL معمولاً به طور پیش‌فرض روشن است — تأیید کنید که در تنظیمات دامنه/امنیت شما فعال است.
سرور Linux خودتان (Nginx/Apache): Let’s Encrypt را با Certbot نصب کنید — sudo certbot --nginx -d yourbiz.com -d www.yourbiz.com.

مرحله ۲ — تجدید را خودکار کنید تا دیگر هرگز منقضی نشود.

در سرور Let’s Encrypt، تأیید کنید تایمر تجدید فعال است: sudo certbot renew --dry-run.
در Cloudflare، cPanel AutoSSL، و هاست‌های مدیریت شده تجدید برای شما انجام می‌شود.

مرحله ۳ — مطمئن شوید نام‌های درستی را پوشش می‌دهد. گواهینامه باید هر hostname ای را که مشتریان واقعاً استفاده می‌کنند پوشش دهد — دامنه‌ی bare، www، و هر زیردامنه‌ای مثل shop. یا app..

اشتباهات رایج

پندار ‘یک بار SSL نصب کردیم و تمام شد’. گواهینامه‌ها بر اساس یک ساعت منقضی می‌شوند. بدون تجدید خودکار، سؤال اگر منقضی شود نیست بلکه چه زمانی است.
پوشش www اما نه دامنه‌ی bare (یا برعکس). هر دو باید روی گواهینامه باشند.
تجدید گواهینامه اما فراموش کردن بارگذاری مجدد سرور. یک گواهینامه‌ی جدید روی دیسک هیچ‌کاری نمی‌کند تا سرور وب بارگذاری مجدد شود.
فرض کردن پرداختی یعنی امن‌تر. یک گواهینامه‌ی رایگان Let’s Encrypt دقیقاً به اندازه‌ی گران‌قیمت‌ترین گواهینامه قابل اعتماد و رمزگذاری شده است.

پرسش‌های متداول

من تکنیکی نیستم — آیا می‌توانم خودم این را حل کنم؟

نیازی نیست رمزنگاری را بفهمید. یک گواهینامه‌ی معتبر رایگان است (از طریق Let's Encrypt و بیشتر هاست‌های مدرن)، و در هاستینگ مدیریت شده معمولاً خودکار است. بخش 'چگونه آن را رفع کنیم' را به هر کسی که وب‌سایت یا هاستینگ شما را اجرا می‌کند بدهید.

سایتم قفل نشان می‌دهد — مگر گواهینامه‌ام خوب نیست؟

قفل فقط یعنی اتصال امن الان وجود دارد. نمی‌گوید گواهینامه در حال انقضاست، روی کلید قوی ساخته شده، یا فردا هم توسط مرورگرها قابل اعتماد خواهد بود. این بررسی چهار چیزی را که واقعاً قفل را روشن نگه می‌دارند بررسی می‌کند.

آیا باید برای گواهینامه SSL پول بدهم؟

نه. گواهینامه‌های رایگان از Let's Encrypt (و ساخته شده در Cloudflare، cPanel AutoSSL، و بیشتر هاستینگ‌های مدرن) توسط هر مرورگری قابل اعتماد هستند و دقیقاً به اندازه‌ی گواهینامه‌های پولی امن هستند.

چگونه می‌تواند یک گواهینامه 'منقضی' شود — و چرا این سایت را از کار می‌اندازد؟

هر گواهینامه یک تاریخ انتهای ثابت دارد (اغلب ۹۰ روز برای گواهینامه‌های رایگان). بعد از آن تاریخ، مرورگرها از اعتماد به آن امتناع می‌کنند. کاملاً کار می‌کند تا ددلاین، سپس کاملاً می‌شکند. به همین دلیل تجدید خودکار خیلی مهم است.

یک گواهینامه 'self-signed' چیست و چرا شکست می‌خورد؟

یک گواهینامه‌ی self-signed یکی است که خودتان صادر کرده‌اید نه از یک مرجع شناخته شده. اتصال را رمزگذاری می‌کند، اما هیچ‌چیزی تأیید نمی‌کند که واقعاً شما هستید — پس مرورگرها آن را غیرقابل اعتماد تلقی می‌کنند.

کلید ضعیف و الگوریتم امضای ضعیف واقعاً برای کسب‌وکار من چه معنایی دارند؟

هر دو راه‌هایی هستند که یک گواهینامه ممکن است امروز از نظر فنی معتبر باشد اما از نظر رمزنگاری شکننده باشد. گواهینامه‌های رایگان مدرن به طور پیش‌فرض از کلیدها و امضاهای قوی استفاده می‌کنند، پس اصلاح تقریباً همیشه فقط صدور مجدد است — بدون هزینه.