آموزش رفع ارور Certificate Expired و خطای HTTPS

مواجهه با خطای Certificate Expired هنگام وب‌گردی تجربه‌ای ناخوشایند است. این پیام نشان‌دهنده انقضای گواهینامه امنیتی وب‌سایت است. مرورگرهای مدرن برای حفظ امنیت کاربر، دسترسی به این سایت‌ها را مسدود می‌کنند. درک علت این خطا اولین قدم برای حل آن است.

بسیاری از این خطاها به تنظیمات سیستم شما مربوط می‌شوند. تنظیم نبودن تاریخ و ساعت سیستم رایج‌ترین دلیل بروز این مشکل است. مرورگرها تاریخ انقضای گواهی را با ساعت محلی شما تطبیق می‌دهند. ناهماهنگی زمانی باعث می‌شود گواهی معتبر، منقضی به نظر برسد.

تغییرات در زیرساخت‌های جهانی وب نیز بر این موضوع تاثیر دارند. انقضای گواهی‌های ریشه قدیمی مانند Let's Encrypt مشکلاتی ایجاد کرده است. دستگاه‌های قدیمی‌تر با سیستم‌عامل‌های به‌روزرسانی نشده بیشتر با این خطا مواجه می‌شوند. به‌روزرسانی مرورگر و سیستم‌عامل راهکار اصلی این چالش است.

نادیده گرفتن این هشدارها خطرات امنیتی جدی به همراه دارد. هکرها می‌توانند از گواهی‌های منقضی برای سرقت اطلاعات استفاده کنند. هرگز گواهی‌های ناشناس را به صورت دستی نصب نکنید. این کار امنیت کل سیستم شما را به خطر می‌اندازد. همیشه از راهکارهای استاندارد و ایمن استفاده کنید.

مرورگرهای امروزی مانند کروم و اج قوانین سخت‌گیرانه‌ای دارند. آن‌ها گواهی‌های با اعتبار طولانی‌مدت را دیگر نمی‌پذیرند. حداکثر زمان اعتبار مجاز اکنون به ۳۹۸ روز کاهش یافته است. این تغییرات با هدف افزایش امنیت کاربران در فضای وب اعمال می‌شوند.

نکات کلیدی این مقاله:

۳۹۸ روز حداکثر سقف اعتبار مجاز برای گواهینامه‌های SSL در مرورگرهای جدید
سپتامبر ۲۰۲۱ تاریخ انقضای گواهی ریشه قدیمی که باعث اختلال در دستگاه‌های اندروید ۷ به پایین شد
خطای ساعت سیستم رایج‌ترین دلیل سمت کاربر که باعث ایجاد اختلال در تایید اعتبار پروتکل TLS می‌شود

مقدمه: گواهینامه SSL/TLS چیست و چرا با ارور Certificate Expired مواجه می‌شویم؟

در سال ۱۴۰۵، امنیت وب دیگر یک انتخاب نیست؛ بلکه یک ضرورت است. پروتکل HTTPS بر پایه گواهینامه‌های SSL/TLS بنا شده است. این گواهی‌ها وظیفه رمزنگاری داده‌ها را بر عهده دارند. آن‌ها هویت وب‌سایت را برای مرورگر شما تایید می‌کنند.

وقتی با ارور Certificate Expired مواجه می‌شوید، یعنی اعتبار زمانی این گواهی به پایان رسیده است.

این خطا به دلایل مختلفی رخ می‌دهد. گاهی مدیر سایت فراموش کرده گواهی را تمدید کند. در موارد دیگر، مشکل از سمت سیستم کاربر است. برای مثال، اگر با مشکل نویز اینترنت و کاهش سرعت مودم مواجه باشید، ممکن است درخواست‌های تایید گواهی با وقفه مواجه شوند.

تفاوت SSL و TLS در سال ۱۴۰۵

امروزه ما همچنان از کلمه SSL استفاده می‌کنیم. اما در واقعیت، پروتکل TLS نسخه ۱.۳ استاندارد فعلی است. این پروتکل امنیت بسیار بالاتری نسبت به نسخه‌های قدیمی دارد. اگر سیستم شما با ارور فایل‌های DLL در ویندوز مواجه باشد، ممکن است کتابخانه‌های امنیتی به درستی بارگذاری نشوند.

امنیت شبکه و گواهینامه SSL — نمایی از پروتکل‌های امنیتی در وب مدرن ۱۴۰۵

مرورگرها به محض مشاهده گواهی منقضی، سدی امنیتی ایجاد می‌کنند. این سد برای محافظت از اطلاعات حساس شماست. اطلاعاتی مانند رمز عبور یا شماره کارت بانکی نباید در بستری ناامن منتقل شوند. در ادامه این مقاله، تمامی ابعاد این خطا را بررسی می‌کنیم.

مقدمه: گواهینامه SSL/TLS چیست و چرا با ارور Certificate Expired مواجه می‌شویم؟

شناسایی انواع کدهای خطای HTTPS در مرورگرهای مدرن (Chrome، Edge و Firefox)

مرورگرهای امروزی کدهای خطای دقیقی نمایش می‌دهند. شناخت این کدها به عیب‌یابی سریع‌تر کمک می‌کند. در گوگل کروم و مایکروسافت اج، رایج‌ترین خطا NET::ERR_CERT_DATE_INVALID است. این کد مستقیماً به تاریخ انقضا یا تنظیمات ساعت اشاره دارد.

اگر با باز نشدن مرورگر Edge مواجه هستید، ابتدا باید پایداری مرورگر را بررسی کنید.

کدهای خطا در فایرفاکس

فایرفاکس از کدهای متفاوتی استفاده می‌کند. کد SEC_ERROR_EXPIRED_CERTIFICATE نشان‌دهنده انقضای قطعی گواهی است. گاهی اوقات کرش شدن فایرفاکس می‌تواند ناشی از تداخل همین گواهینامه‌ها با افزونه‌های امنیتی باشد. حتماً نسخه مرورگر خود را به آخرین ورژن ۱۴۰۵ آپدیت کنید.

NET::ERR_CERT_AUTHORITY_INVALID: مرجع صدور گواهی شناخته شده نیست.
NET::ERR_CERT_COMMON_NAME_INVALID: نام دامنه با گواهی مطابقت ندارد.
SSL_ERROR_BAD_CERT_DOMAIN: خطای اختصاصی فایرفاکس برای عدم تطابق دامنه.

در پلتفرم‌های پیام‌رسان نیز این خطاها دیده می‌شوند. برای مثال، هنگام استفاده از واتساپ وب، اگر گواهی مرورگر مشکل داشته باشد، اتصال برقرار نمی‌شود. همچنین در اپلیکیشن‌ها، مشکلاتی مثل اسکرین شات در تلگرام گاهی به دلیل اختلال در لایه‌های امنیتی رخ می‌دهد.

شناسایی انواع کدهای خطای HTTPS در مرورگرهای مدرن (Chrome، Edge و Firefox)

بررسی و تنظیم تاریخ و ساعت سیستم؛ اولین و مهم‌ترین قدم برای رفع مشکل

شایع‌ترین دلیل ارور HTTPS، تنظیم نبودن ساعت و تاریخ ویندوز است. گواهینامه‌های SSL دارای تاریخ شروع و پایان دقیق هستند. اگر ساعت سیستم شما حتی چند دقیقه عقب یا جلو باشد، مرورگر گواهی را نامعتبر تشخیص می‌دهد.

این مشکل در سیستم‌هایی که با ارور 0xc0000098 مواجه شده‌اند، پس از ریستور کردن ویندوز زیاد دیده می‌شود.

چرا ساعت سیستم به هم می‌خورد؟

دلیل اصلی خالی شدن باتری CMOS مادربرد است. در این حالت، با هر بار خاموش شدن کامپیوتر، ساعت ریست می‌شود. اگر متوجه چشمک زدن چراغ باتری لپ‌تاپ شدید، احتمالاً باتری داخلی نیاز به تعویض دارد. تنظیم دستی ساعت یک راهکار موقت است.

روی ساعت در گوشه سمت راست پایین کلیک راست کنید.
گزینه Adjust date/time را انتخاب نمایید.
گزینه Set time automatically را فعال کنید.
روی دکمه Sync now کلیک کنید تا با سرورهای جهانی هماهنگ شود.

گاهی اوقات انباشت فایل‌های اضافی در سیستم مانع از عملکرد صحیح سرویس‌های ویندوز می‌شود. در این موارد، خالی نشدن سطل زباله ویندوز می‌تواند نشانه‌ای از اختلال در فایل‌های سیستمی باشد. همیشه ساعت را بر اساس منطقه زمانی تهران (UTC +03:30) تنظیم کنید.

بررسی و تنظیم تاریخ و ساعت سیستم؛ اولین و مهم‌ترین قدم برای رفع مشکل

پاکسازی کش مرورگر و وضعیت SSL (Clear SSL State) در تنظیمات سیستم

گاهی اوقات مرورگر نسخه قدیمی و منقضی گواهی را در حافظه خود نگه می‌دارد. حتی پس از تمدید گواهی توسط مدیر سایت، شما همچنان ارور می‌بینید. در این شرایط، پاکسازی کش SSL ضروری است.

این کار مشابه زمانی است که برای رفع مشکل کار نکردن گوگل پلی، دیتای اپلیکیشن را پاک می‌کنید.

نحوه پاکسازی SSL State در ویندوز

این تنظیمات در لایه سیستم‌عامل اعمال می‌شود و بر تمامی مرورگرها اثر می‌گذارد. اگر با ارور 0xc000007b در ویندوز درگیر هستید، احتمالا اختلالات سیستمی گسترده‌تری دارید. برای پاکسازی SSL مراحل زیر را طی کنید:

در منوی استارت عبارت Internet Options را جستجو کنید.
به تب Content بروید.
روی دکمه Clear SSL State کلیک کنید.
پیام موفقیت‌آمیز بودن عملیات را تایید کرده و مرورگر را ریستارت کنید.

این کار باعث می‌شود مرورگر مجبور شود زنجیره اعتماد گواهی را دوباره بررسی کند. در گوشی‌های اندرویدی نیز، رفع محدودیت‌های گوگل پلی اغلب با پاکسازی کش خدمات گوگل میسر می‌شود. پاکسازی کش مرورگر (Ctrl+Shift+Del) نیز مکمل این فرآیند است.

آپدیت سیستم‌عامل و حل مشکل انقضای گواهی‌های ریشه (Root CA) در دستگاه‌های قدیمی

در سال‌های اخیر، بسیاری از گواهی‌های ریشه قدیمی (مانند DST Root CA X3) منقضی شده‌اند. دستگاه‌های قدیمی که آپدیت نمی‌شوند، دیگر نمی‌توانند سایت‌های جدید را باز کنند. این موضوع در ویندوز ۷ و اندرویدهای قدیمی بسیار شایع است. برای حل این مشکل، آپدیت ویندوز ۱۰ و ۱۱ بهترین راهکار است.

تاثیر آپدیت بر امنیت سیستم

آپدیت‌های سیستمی شامل لیست جدید مراجع صدور گواهی (CA) هستند. بدون این لیست، مرورگر نمی‌تواند اعتبار سایت‌های معتبر را بسنجد. اگر با ارور 0xc00000e9 مواجه شدید، ممکن است هارد دیسک شما در خواندن فایل‌های آپدیت مشکل داشته باشد.

توصیه می‌شود در ویندوز ۱۱، از غیرفعال کردن آپدیت خودکار خودداری کنید. مگر در موارد خاص که پهنای باند محدودی دارید. آپدیت بودن سیستم‌عامل، ریشه بسیاری از مشکلات امنیتی HTTPS را به صورت خودکار خشک می‌کند.

آپدیت ویندوز و امنیت — به‌روزرسانی مداوم سیستم‌عامل کلید عبور از ارورهای گواهینامه است

نقش آنتی‌ویروس و فایروال در بروز اختلالات گواهینامه امنیتی و نحوه مدیریت آن

آنتی‌ویروس‌های مدرن قابلیتی به نام HTTPS Scanning دارند. آن‌ها ترافیک رمزنگاری شده را باز می‌کنند تا ویروس‌ها را شناسایی کنند. سپس گواهی خودشان را جایگزین گواهی اصلی سایت می‌کنند. اگر این فرآیند به درستی انجام نشود، مرورگر ارور امنیتی می‌دهد.

این اختلال گاهی باعث هنگ کردن کامپیوتر و لپ‌تاپ در هنگام وب‌گردی می‌شود.

مدیریت تنظیمات فایروال

اگر فایروال شما بیش از حد سخت‌گیر باشد، ممکن است پروتکل OCSP را مسدود کند. این پروتکل برای استعلام وضعیت اعتبار گواهی استفاده می‌شود. در چنین شرایطی، حتی ممکن است در اجرا نشدن فایل‌های exe نیز دچار مشکل شوید. برای تست، آنتی‌ویروس را موقتاً غیرفعال کنید.

همچنین اگر از اتصال اینترنت گوشی به کامپیوتر استفاده می‌کنید، تنظیمات پروکسی گوشی ممکن است با گواهینامه‌های سیستم تداخل ایجاد کند. همیشه سعی کنید از آنتی‌ویروس‌های معتبر و به‌روز استفاده کنید تا تداخلات به حداقل برسد.

هشدارهای امنیتی: چرا نباید گواهی‌های ناشناخته را به صورت دستی نصب کرد؟

نصب دستی گواهی‌های SSL (فایل‌های .crt یا .cer) یکی از خطرناک‌ترین کارهاست. با این کار، شما به صادرکننده آن گواهی اجازه می‌دهید تمام ترافیک شما را شنود کند. این دقیقاً همان روشی است که هکرها برای حملات Man-in-the-Middle استفاده می‌کنند.

اگر اکانت شما مسدود شده، به جای راه‌های غیرایمن، از راهنمای رفع بلاک واتساپ استفاده کنید.

امنیت در سایت‌های حساس

در سایت‌های دولتی و مالی، امنیت حرف اول را می‌زند. برای مثال، هنگام بررسی بیمه سلامت ناباروری یا ثبت‌نام در سایت وام ناباروری، هرگز ارورهای SSL را نادیده نگیرید. نصب گواهی‌های متفرقه می‌تواند اطلاعات بانکی شما را به خطر بیندازد.

فقط گواهی‌هایی را نصب کنید که از مراجع رسمی و شناخته شده صادر شده باشند. مرورگرها به طور خودکار لیست مراجع معتبر را آپدیت می‌کنند. اگر سایتی از شما خواست گواهی خاصی را دانلود و نصب کنید، به احتمال زیاد آن سایت ناامن است.

آشنایی با پروتکل HSTS و دلیل عدم امکان عبور از برخی خطاهای SSL

HSTS یک مکانیزم امنیتی است که سایت‌ها را مجبور می‌کند فقط از طریق HTTPS در دسترس باشند. وقتی سایتی از HSTS استفاده می‌کند، دکمه "Proceed anyway" در مرورگر حذف می‌شود. این یعنی شما نمی‌توانید ریسک را بپذیرید و وارد سایت شوید.

این موضوع در سامانه ابلاغ و سایر سامانه‌های حساس قضایی برای حفظ امنیت کاربران اجرا می‌شود.

امنیت در سامانه‌های دولتی

سامانه‌هایی مثل سامانه کارورزی یا درگاه‌های بانکی مانند بانک رسالت از پروتکل‌های سخت‌گیرانه استفاده می‌کنند. اگر در این سایت‌ها با ارور مواجه شدید، مشکل معمولاً از سمت سرور یا تاریخ سیستم شماست. در این حالت، پاکسازی کش HSTS در مرورگر (از طریق chrome://net-internals/#hsts) ممکن است راهگشا باشد.

HSTS مانع از حملات SSL Stripping می‌شود. این حملات سعی می‌کنند ارتباط شما را به نسخه ناامن HTTP تنزل دهند. وجود این پروتکل نشان‌دهنده اهمیت بالای امنیت در آن وب‌سایت است.

قوانین جدید مرورگرها: محدودیت اعتبار ۳۹۸ روزه برای گواهینامه‌های SSL

از سال ۲۰۲۰ به بعد، گوگل و اپل قانونی را وضع کردند که اعتبار گواهی‌ها نباید بیش از ۳۹۸ روز باشد. اگر گواهی سایتی برای ۲ سال صادر شده باشد، مرورگرهای مدرن آن را نامعتبر می‌شناسند.

این قانون برای افزایش امنیت و امکان ابطال سریع‌تر گواهی‌های لو رفته وضع شده است. این موضوع حتی در پلتفرم‌های اجتماعی مثل کپی رایت اینستاگرام و بررسی اصالت محتوا نیز به نوعی در لایه‌های زیرین اهمیت دارد.

تاثیر بر تجربه کاربری در شبکه‌های اجتماعی

اختلال در گواهینامه‌ها می‌تواند باعث مشکلاتی نظیر ثبت لوکیشن اینستاگرام یا عدم نمایش هایلایت‌های اینستاگرام شود. همچنین مشکلاتی مانند دایرکت اینستاگرام یا باز نشدن استوری تلگرام نیز گاهی به دلیل عدم تایید گواهی‌های CDN رخ می‌دهد.

حتی مشکلاتی مثل کار نکردن تب فالویینگ نیز می‌تواند ریشه در اختلالات SSL در سطح شبکه داشته باشد. مدیران سایت‌ها اکنون ترجیح می‌دهند از گواهی‌های کوتاه‌مدت ۹۰ روزه (مانند Let's Encrypt) استفاده کنند تا با این قوانین تداخل نداشته باشند.

راهکارهای اختصاصی برای مدیران سایت جهت تمدید و پیکربندی صحیح SSL

اگر مدیر سایت هستید، باید از ابزارهای مانیتورینگ برای تاریخ انقضا استفاده کنید. انقضای گواهی باعث افت شدید سئو و اعتماد کاربران می‌شود. برای مثال، اگر در سایت خود فرم‌های دریافت کد واتساپ یا کد ایتا دارید، امنیت HTTPS حیاتی است.

نکات فنی برای وب‌مسترها

همیشه زنجیره گواهی (CA Bundle) را به طور کامل نصب کنید. ناقص بودن زنجیره باعث می‌شود سایت در برخی گوشی‌ها باز نشود.

اگر از وردپرس استفاده می‌کنید، ممکن است با مشکل تایپ فارسی و انگلیسی در ویرایشگر مواجه شوید که ربطی به SSL ندارد، اما تداخل اسکریپت‌های HTTPS می‌تواند پنل مدیریت را به هم بریزد.

در صورت بروز ارورهای حاد در هنگام آپدیت گواهی از طریق آیتونز، حتما راهنمای حل ارور 3194 را مطالعه کنید. استفاده از پروتکل TLS 1.3 و غیرفعال کردن نسخه‌های قدیمی (SSL 3.0 و TLS 1.0) امنیت سایت شما را در سال ۱۴۰۵ تضمین می‌کند.

جمع‌بندی و چک‌لیست نهایی عیب‌یابی ارورهای HTTPS

رفع ارور Certificate Expired معمولاً ساده است اما نیاز به دقت دارد. ابتدا از تنظیم بودن ساعت سیستم مطمئن شوید. سپس کش مرورگر را پاک کنید. اگر مشکل حل نشد، سیستم‌عامل را آپدیت کنید.

برای کاربران موبایل، افزایش سرعت گوشی و آپدیت خدمات گوگل پلی می‌تواند بسیاری از خطاهای گواهی را برطرف کند.

چک‌لیست سریع عیب‌یابی

بررسی تاریخ و ساعت (هماهنگی با UTC +03:30).
پاکسازی SSL State در Internet Options.
غیرفعال کردن موقت آنتی‌ویروس (بخش HTTPS Scanning).
تست سایت با مرورگر دیگر (مثلاً فایرفاکس یا اج).
بررسی سایت در دستگاهی دیگر برای اطمینان از سلامت سرور.

اگر با مشکلاتی مثل عدم آنتن‌دهی گوشی یا مسدودی سیم‌کارت ایرانسل مواجه هستید، این مسائل ارتباطی به SSL ندارند اما می‌توانند دسترسی شما به اینترنت امن را مختل کنند. همچنین در صورت بروز مشکلات سخت‌افزاری، راهنمای رفع مشکلات سی‌دی‌رام یا سیاه شدن دوربین گوشی را در پیشخوانک دنبال کنید.

در نهایت، اگر همچنان با ارور Phone Number Flood یا سایر خطاهای اپلیکیشن‌ها در کنار ارور مرورگر مواجه هستید، احتمالاً آی‌پی شما دچار محدودیت شده است. با رعایت نکات این مقاله، وب‌گردی امن و بدون دردسری را در سال ۱۴۰۵ تجربه خواهید کرد.

نقش پروتکل TLS 1.3 در امنیت مرورگرهای مدرن

امروزه وقتی از امنیت وب صحبت می‌کنیم، منظور ما پروتکل TLS است، هرچند هنوز به طور عامیانه از واژه SSL استفاده می‌شود. نسخه ۱.۳ جدیدترین و امن‌ترین استاندارد این پروتکل است که سرعت و امنیت را به طور همزمان بهبود بخشیده است.

مرورگرهای مدرن مانند کروم و فایرفاکس به شدت بر استفاده از این نسخه تاکید دارند.

بسیاری از ارورهای HTTPS که کاربران با آن مواجه می‌شوند، ناشی از عدم تطابق نسخه TLS سرور با مرورگر است. اگر سرور سایت از نسخه‌های قدیمی و ناامن مانند TLS 1.0 یا 1.1 استفاده کند، مرورگرهای جدید اجازه برقراری اتصال را نمی‌دهند.

این موضوع باعث نمایش هشدارهای امنیتی می‌شود که کاربر را از ادامه مسیر باز می‌دارد.

تفاوت اصلی TLS 1.3 با نسخه‌های قبلی در حذف الگوریتم‌های رمزنگاری ضعیف و کاهش مراحل Handshake است. این کار باعث می‌شود زمان بارگذاری سایت کاهش یابد و حملات نفوذی سخت‌تر شود. اگر سیستم‌عامل شما قدیمی باشد، ممکن است از این پروتکل پشتیبانی نکند و با ارورهای گواهینامه مواجه شوید.

برای رفع این مشکل در سیستم‌های قدیمی، باید تنظیمات Internet Options را بررسی کرد. در تب Advanced، اطمینان حاصل کنید که گزینه‌های مربوط به TLS 1.2 و TLS 1.3 فعال هستند.

البته در ویندوزهای بسیار قدیمی، پشتیبانی از نسخه ۱.۳ به صورت پیش‌فرض وجود ندارد و نیاز به آپدیت‌های سیستمی خاص است.

در نهایت، مدیران سایت‌ها باید اطمینان حاصل کنند که سرور آن‌ها به درستی برای پشتیبانی از پروتکل‌های جدید پیکربندی شده است. استفاده از پروتکل‌های قدیمی نه تنها امنیت کاربران را به خطر می‌اندازد، بلکه باعث افت رتبه سئو و نمایش هشدارهای قرمز رنگ در مرورگر بازدیدکنندگان می‌شود.

بحران انقضای گواهی ریشه Let's Encrypt در دستگاه‌های قدیمی

در سپتامبر سال ۲۰۲۱، اتفاقی در دنیای وب رخ داد که باعث شد میلیون‌ها دستگاه قدیمی با ارور Certificate Expired مواجه شوند. گواهی ریشه قدیمی موسوم به DST Root CA X3 منقضی شد.

این گواهی پایه و اساس تایید هویت بسیاری از سایت‌هایی بود که از SSL رایگان Let's Encrypt استفاده می‌کردند.

دستگاه‌هایی که سیستم‌عامل آن‌ها به‌روزرسانی نشده بود، نتوانستند گواهی ریشه جدید (ISRG Root X1) را شناسایی کنند. این موضوع باعث شد کاربرانی که از ویندوز ۷ آپدیت نشده یا اندروید نسخه ۷ به پایین استفاده می‌کردند، در دسترسی به اکثر سایت‌های معتبر دچار مشکل شوند.

این یک ارور واقعی انقضا بود که از سمت کاربر قابل حل ساده نبود.

برای حل این مشکل، نصب دستی گواهی ریشه جدید یکی از راهکارهای تخصصی است. با این حال، بهترین روش همیشه به‌روزرسانی سیستم‌عامل به نسخه‌ای است که گواهی‌های جدید را در مخزن خود داشته باشد.

مرورگر فایرفاکس در این میان یک استثناست، زیرا از مخزن گواهی‌های اختصاصی خود استفاده می‌کند و معمولاً کمتر دچار این مشکل می‌شود.

بسیاری از کاربران تصور می‌کردند که مشکل از تاریخ و ساعت سیستم آن‌هاست، اما ریشه مشکل در عدم اعتماد سیستم‌عامل به مرجع صادرکننده گواهی بود.

این واقعه نشان داد که امنیت وب تا چه حد به زنجیره اعتماد (Chain of Trust) وابسته است و انقضای یک گواهی در سطوح بالا چه تاثیری دارد.

اگر هنوز با دستگاهی قدیمی کار می‌کنید و با ارورهای مداوم HTTPS مواجه هستید، احتمالاً قربانی همین انقضای گواهی ریشه شده‌اید.

در چنین شرایطی، استفاده از مرورگرهای به‌روز که موتور داخلی خود را دارند یا ارتقای سخت‌افزاری و نرم‌افزاری تنها راه‌های منطقی و امن برای بازگشت به دنیای وب بدون محدودیت هستند.

بررسی خطای عدم تطابق نام دامنه در گواهینامه امنیتی

یکی از رایج‌ترین ارورهای HTTPS که کاربران را گیج می‌کند، خطای Common Name Invalid است. این خطا زمانی رخ می‌دهد که نام دامنه درج شده در گواهینامه SSL با آدرس سایتی که کاربر در مرورگر وارد کرده، مطابقت نداشته باشد.

به زبان ساده، مرورگر می‌گوید: «این گواهی برای این سایت صادر نشده است».

به عنوان مثال، اگر گواهینامه فقط برای دامنه بدون www صادر شده باشد و کاربر آدرس را با www وارد کند، این ارور ظاهر می‌شود.

امروزه استاندارد SAN (Subject Alternative Name) اجازه می‌دهد یک گواهی برای چندین نام دامنه و زیردامنه معتبر باشد، اما عدم پیکربندی صحیح آن توسط مدیر سایت منجر به خطا می‌شود.

گاهی اوقات این مشکل به دلیل ریدایرکت‌های اشتباه در سمت سرور رخ می‌دهد. اگر سایت شما از یک سرویس CDN یا پروکسی مانند کلادفلر استفاده می‌کند، باید تنظیمات SSL در هر دو سمت (سرور اصلی و CDN) با هم هماهنگ باشند.

در غیر این صورت، مرورگر گواهی سرور واسط را با نام دامنه شما تطبیق نمی‌دهد و خطا صادر می‌کند.

برای کاربران عادی، دیدن این ارور می‌تواند نشانه یک حمله فیشینگ یا «مرد میانی» باشد. هکرها ممکن است سعی کنند شما را به نسخه‌ای جعلی از یک سایت هدایت کنند که گواهی معتبری دارد، اما نام آن با سایت اصلی متفاوت است.

بنابراین، هرگز نباید این خطا را در سایت‌های حساس مانند بانک‌ها نادیده گرفت.

رفع این ارور در سمت مدیر سایت با صدور مجدد گواهینامه و درج تمامی زیردامنه‌های مورد نیاز انجام می‌شود.

همچنین اطمینان از اینکه تمامی لینک‌های داخلی سایت از پروتکل یکسان (یا با www یا بدون آن) استفاده می‌کنند، می‌تواند به پایداری تجربه کاربری و جلوگیری از نمایش این هشدار آزاردهنده کمک شایانی کند.

چالش‌های تمدید خودکار و اعتبار کوتاه مدت SSL رایگان

گواهینامه‌های SSL رایگان، مانند آنچه توسط Let's Encrypt ارائه می‌شود، تحولی در امنیت وب ایجاد کرده‌اند. با این حال، این گواهی‌ها یک تفاوت عمده با نسخه‌های تجاری دارند: مدت اعتبار آن‌ها معمولاً تنها ۹۰ روز است.

این دوره کوتاه به منظور افزایش امنیت و کاهش سوءاستفاده از گواهی‌های سرقتی تعیین شده است.

دلیل اصلی اینکه بسیاری از سایت‌ها ناگهان با ارور Certificate Expired مواجه می‌شوند، شکست در فرآیند تمدید خودکار (Auto-Renewal) است. اکثر کنترل‌پنل‌های هاستینگ مانند سی‌پنل یا دایرکت‌ادمین ابزارهایی برای تمدید خودکار دارند، اما تداخل در فایل‌های .htaccess یا محدودیت‌های فایروال می‌تواند مانع از تایید هویت دامنه و تمدید گواهی شود.

زمانی که اعتبار ۹۰ روزه به پایان می‌رسد و تمدید انجام نمی‌شود، مرورگر بلافاصله دسترسی کاربران را مسدود می‌کند. در این حالت، مدیر سایت باید به صورت دستی فرآیند صدور را از طریق کنسول هاستینگ خود تحریک کند.

بررسی لاگ‌های مربوط به ACME Client می‌تواند دلیل دقیق عدم تمدید خودکار را برای متخصصان شبکه روشن کند.

نکته مهم دیگر این است که گواهی‌های رایگان معمولاً فقط سطح تایید دامنه (DV) را پوشش می‌دهند. برای سازمان‌های بزرگ، استفاده از این گواهی‌ها ممکن است کافی نباشد.

با این حال، برای اکثر وبلاگ‌ها و سایت‌های کوچک، این بهترین گزینه است، به شرطی که سیستم مانیتورینگ دقیقی برای چک کردن تاریخ انقضا داشته باشند.

اگر به عنوان کاربر با این ارور در سایتی مواجه شدید، معمولاً کاری از دست شما ساخته نیست جز اینکه به مدیر سایت اطلاع دهید.

این ارور نشان‌دهنده ناامن بودن ذاتی سایت نیست، بلکه صرفاً به معنای فراموشی در تمدید یک اعتبارنامه دیجیتال است که باید در اسرع وقت توسط مالک سایت اصلاح گردد.

اهمیت زنجیره اعتماد و گواهی‌های میانی در رفع ارور HTTPS

یک گواهینامه SSL به تنهایی کار نمی‌کند؛ بلکه بخشی از یک زنجیره اعتماد (Chain of Trust) است. این زنجیره از گواهی ریشه (Root) شروع شده، به گواهی‌های میانی (Intermediate) می‌رسد و در نهایت به گواهی سایت شما ختم می‌شود.

اگر هر یک از این حلقه‌ها مفقود شود، مرورگر ارور عدم اعتبار صادر می‌کند.

بسیاری از مدیران سایت گواهی اصلی را نصب می‌کنند اما فراموش می‌کنند فایل CA-Bundle یا گواهی‌های میانی را روی سرور آپلود کنند.

در این حالت، سایت ممکن است در برخی مرورگرها (که گواهی میانی را کش کرده‌اند) به خوبی باز شود، اما در مرورگرها یا دستگاه‌های جدید با ارور امنیتی مواجه گردد.

ابزارهای آنلاین مانند SSL Labs می‌توانند به شما بگویند که آیا زنجیره اعتماد سایت شما کامل است یا خیر. ارورهایی مانند «Incomplete Certificate Chain» مستقیماً به این موضوع اشاره دارند.

برای رفع آن، باید تمام فایل‌های ارائه شده توسط صادرکننده گواهی را به ترتیب صحیح در تنظیمات وب‌سرور (مانند Nginx یا Apache) قرار دهید.

از دیدگاه امنیتی، گواهی‌های میانی نقش سپر بلا را دارند. اگر کلید اصلی یک مرکز صادرکننده (CA) لو برود، کل اینترنت به خطر می‌افتد.

بنابراین، آن‌ها از گواهی‌های میانی برای امضای گواهی‌های مشتریان استفاده می‌کنند تا امنیت گواهی ریشه در بالاترین سطح ممکن حفظ شود و در صورت بروز مشکل، ابطال گواهی‌ها راحت‌تر باشد.

درک این ساختار سلسله‌مراتبی برای عیب‌یابی ارورهای پیچیده HTTPS ضروری است. گاهی اوقات ارور انقضا مربوط به گواهی سایت شما نیست، بلکه یکی از گواهی‌های میانی در زنجیره اعتماد منقضی شده است.

در چنین شرایطی، حتی با وجود معتبر بودن گواهی اصلی، مرورگر به کل اتصال اعتماد نخواهد کرد و هشدار قرمز نمایش می‌دهد.

معرفی ابزارهای تخصصی برای تشخیص ریشه ارورهای گواهینامه

وقتی با ارور HTTPS مواجه می‌شوید، اولین قدم تشخیص این است که مشکل از سمت کاربر (مرورگر و سیستم‌عامل) است یا سمت سرور (سایت). ابزارهای تست SSL در این مرحله حیاتی هستند.

معتبرترین این ابزارها، سرویس SSL Server Test از وب‌سایت Qualys SSL Labs است که تحلیل عمیقی از وضعیت امنیتی سایت ارائه می‌دهد.

این ابزار نه تنها تاریخ انقضا را چک می‌کند، بلکه مواردی مانند قدرت رمزنگاری، پشتیبانی از پروتکل‌های TLS، وجود گواهی‌های میانی و آسیب‌پذیری در برابر حملات معروف را بررسی می‌کند.

اگر در این تست نمره A دریافت کردید اما همچنان ارور می‌بینید، مشکل قطعاً از سمت دستگاه یا اینترنت کاربر است.

ابزار دیگری که برای بررسی سریع مفید است، دستورات OpenSSL در خط فرمان است. متخصصان شبکه با استفاده از این دستور می‌توانند جزئیات دقیق گواهی ارسالی توسط سرور را بدون دخالت کش مرورگر مشاهده کنند.

این کار به شناسایی مشکلاتی که ممکن است توسط کش‌های DNS یا پروکسی‌ها ایجاد شده باشند، کمک می‌کند.

سایت‌هایی مانند Why No Padlock نیز برای شناسایی محتوای ترکیبی (Mixed Content) عالی هستند.

گاهی گواهینامه SSL درست نصب شده، اما به دلیل اینکه برخی تصاویر یا اسکریپت‌ها از آدرس‌های http بارگذاری می‌شوند، مرورگر آیکون قفل سبز را نشان نمی‌دهد و هشدار «Not Secure» صادر می‌کند که باعث نگرانی کاربران می‌شود.

استفاده از این ابزارها به مدیران سایت کمک می‌کند تا پیش از اینکه کاربران با ارور مواجه شوند، مشکلات احتمالی را شناسایی و رفع کنند.

همچنین برای کاربران حرفه‌ای، این ابزارها روشی مطمئن برای اطمینان از امنیت یک سایت پیش از وارد کردن اطلاعات حساس مانند رمز عبور یا شماره کارت بانکی در محیط وب هستند.

رفع ارور Certificate Expired و خطای HTTPS در مرورگر