گواهی SSL چیست و چرا باید هر سه ماه یک‌بار تمدید شود

مقدمه: وقتی قطعی اینترنت، میلیون ها سایت را زمین زد

اگر صاحب سایت هستید یا با شرکت‌های توسعه وب کار می‌کنید، احتمالاً این روزها با پیام ترسناک «اتصال شما امن نیست» روبرو شده‌اید. ما در تیم آرتا رسانه در طول چند ماه گذشته، در پی قطعی طولانی‌مدت اینترنت بین‌الملل در دیتاسنترهای ایران، با چالشی بزرگ روبرو شدیم:  گواهی SSL بیش از هزار سایت تحت مدیریت ما به‌طور تدریجی در سه ماه منقضی شد. 

این تجربه، هم دردناک بود و هم آموزنده. در این مقاله می‌خواهیم هم از زاویه فنی توضیح دهیم که  گواهی SSL چیست ، چرا اعتبار آن محدود است و چه اتفاقی می‌افتد وقتی منقضی شود  و هم از زاویه تجربه واقعی، از پشت صحنه‌ی یک شرکت هاستینگ در ایران بگوییم که قطعی اینترنت با زیرساخت وب کشور چه می‌کند.

گواهی SSL چیست؟

SSL مخفف عبارت Secure Sockets Layer است — پروتکلی که ارتباط بین مرورگر کاربر و سرور سایت را رمزنگاری می‌کند. امروزه نسخه پیشرفته‌تر آن به نام TLS   (Transport Layer Security) استفاده می‌شود، اما در محاوره عمومی هنوز همان نام SSL رایج است.

وقتی آدرس یک سایت با  HTTPS  شروع می‌شود و آیکون قفل سبز در نوار آدرس مرورگر می‌بینید، یعنی گواهی SSL آن سایت فعال و معتبر است.

 گواهی SSL چه اطلاعاتی دارد؟

یک گواهی SSL شامل این اطلاعات است:

- نام دامنه صاحب گواهی
- نام صادرکننده(Certificate Authority یا CA)
- تاریخ صدور و انقضا
- کلید عمومی رمزنگاری
-امضای دیجیتال صادرکننده

چرا SSL تاریخ انقضا دارد؟

این سوالی است که خیلی از کاربران و حتی بعضی مشتریان ما می‌پرسند: «مگر امنیت سایت من عوض شده که باید دوباره پول بدم؟»

جواب فنی این است:

 ۱. امنیت رمزنگاری در طول زمان کاهش می‌یابد

الگوریتم‌های رمزنگاری مانند هر فناوری دیگری مستهلک می‌شوند. یک کلید رمزنگاری که امروز قوی به نظر می‌رسد، با پیشرفت قدرت پردازش کامپیوترها و روش‌های حمله، در آینده آسیب‌پذیر می‌شود. تمدید دوره‌ای SSL فرصتی است برای ارتقاء الگوریتم‌ها و صدور کلیدهای جدیدتر.

۲. هویت صاحب دامنه باید دوره‌ای تأیید شود

ممکن است یک سایت دست به دست بشود، هک شود یا مالکیتش تغییر کند. تاریخ انقضای کوتاه‌تر یعنی **چرخه تأیید هویت سریع‌تر** — اگر سایتی دست افراد مخرب افتاده باشد، گواهی آن به‌زودی منقضی می‌شود و نمی‌توانند آن را تمدید کنند.

۳. تصمیم صنعت برای کوتاه‌تر کردن عمر گواهی‌ها

تا سال ۲۰۲۰ گواهی‌های SSL تا دو سال اعتبار داشتند. از سپتامبر ۲۰۲۰، شرکت‌های بزرگ مانند Apple، Google و Mozilla تصمیم گرفتند حداکثر اعتبار SSL را به ۱۳ ماه کاهش دهند. دلیل این تصمیم دقیقاً همان چیزی است که گفتیم: کاهش سطح خطر در صورت سرقت یا سوءاستفاده از گواهی.

در واقع، روند صنعت به سمت گواهی‌های ۹۰ روزه (سه‌ماهه) حرکت کرده — همان چیزی که سرویس رایگان  Let's Encrypt از همان ابتدا اجرا می‌کند.

  Let's Encrypt چیست و چرا ۹۰ روزه است؟

Let's Encrypt یک مرجع صدور گواهی (CA) رایگان، خودکار و غیرانتفاعی است که توسط بنیاد ISRG اداره می‌شود. هدفش این بوده که HTTPS را برای همه وب‌سایت‌ها در دسترس قرار دهد — بدون هزینه.

اما چرا گواهی‌هایش فقط ۹۰ روز اعتبار دارند؟

بنیان‌گذاران Let's Encrypt این دوره کوتاه را عمداً انتخاب کردند، با این استدلال:

 «دوره کوتاه‌تر یعنی سیستم‌های خودکار تمدید باید به درستی کار کنند. اگر اتوماسیون شکست بخورد، سایت در عرض سه ماه هشدار می‌دهد — نه دو سال دیرتر.»

 ابزار Certbot و تمدید خودکار

در یک محیط بدون مشکل، Let's Encrypt از طریق ابزار Certbot به‌صورت خودکار تمدید می‌شود. Certbot یک cron job روی سرور تنظیم می‌کند که هر روز وضعیت گواهی‌ها را بررسی کند و اگر کمتر از ۳۰ روز به انقضا مانده باشد، اتوماتیک تمدید کند.

بررسی وضعیت گواهی‌ها
certbot certificates

تمدید دستی همه گواهی‌ها
certbot renew

تمدید یک دامنه مشخص
certbot renew --cert-name example.com

چه اتفاقی افتاد؟ تجربه ما از قطعی اینترنت بین‌الملل

حالا بخش مهم ماجرا  آنچه ما زندگی کردیم.

مکانیزم تمدید خودکار چطور کار می‌کند؟

برای اینکه Let's Encrypt بتواند گواهی را تمدید کند، سرور باید با سرورهای Let's Encrypt در اینترنت بین‌الملل ارتباط برقرار کند. این ارتباط از طریق پروتکل ACME (Automatic Certificate Management Environment) انجام می‌شود.

وقتی Certbot اجرا می‌شود، با سرور `acme-v02.api.letsencrypt.org` تماس می‌گیرد و یک چالش تأیید هویت (Domain Validation Challenge) انجام می‌دهد — ثابت می‌کند که واقعاً کنترل دامنه را دارد.

 قطعی اینترنت = شکست تمدید خودکار

وقتی اینترنت بین‌الملل دیتاسنترها قطع شد، سرورهای ما دیگر نمی‌توانستند با سرورهای Let's Encrypt ارتباط برقرار کنند. Certbot سعی می‌کرد تمدید کند، اما هر بار با خطا روبرو می‌شد:

IMPORTANT NOTES:
- The following errors were reported by the server:
 Domain: example.com
 Type: connection
 Detail: Fetching http://example.com/.well-known/acme-challenge/...:
 Connection refused

این یعنی گواهی‌ها یکی پس از دیگری منقضی می‌شدند — و سایت‌ها به جای بارگذاری صفحات، به کاربران پیام می‌دادند:

 ⚠️ اتصال شما امن نیست

 وقتی مشتری نمی‌داند این مشکل از کجاست

اینجا بود که ماجرا پیچیده شد. ما باید با بیش از هزار مشتری ارتباط می‌گرفتیم و توضیح می‌دادیم که این مشکل تقصیر ما نیست — نه کدنویسی ما ایراد دارد، نه هاست ما خراب شده. اینترنت بین‌الملل قطع شده و یک سیستم امنیتی جهانی که به آن متکی هستیم، دیگر در دسترس نیست.

اما انتقال این مفهوم فنی به زبانی که برای همه کاربران قابل درک باشد، کار ساده‌ای نبود.

 چرا تمدید دستی SSL وقت‌گیر است؟

شاید بپرسید: «خب، چرا دستی تمدید نمی‌کنید؟»

تمدید دستی SSL برای هر سایت به‌طور متوسط شامل این مراحل است:

۱. اتصال به یک سرور خارجی دیگر که به  اینترنت بین الملل وصل است  از طریق SSH
۲. اجرای دستی Certbot با پارامترهای manual
۳. تأیید مالکیت دامنه از طریق روش DNS Challenge (که نیاز به دسترسی به DNS دارد)
۴. اعمال گواهی جدید و راه‌اندازی مجدد وب‌سرور (Apache یا Nginx) در سرور ایرانی
۵. تست و تأیید که سایت با HTTPS بالا آمده 

همین فرآیند ۵ مرحله‌ای، برای هر سایت بین  ۲ تا ۳ ساعت کاری  وقت می‌گیرد — نه به خاطر بی‌کفایتی، بلکه به خاطر پیچیدگی‌های هماهنگی با صاحبان دامنه‌ها و شرایط خاص هر سرور.

حالا این را ضرب کنید در بیش از  هزار سایت 

آیا SSL گران است؟ چرا باید هزینه تمدید بدهم؟

این سوال هسته اصلی نارضایتی بسیاری از مشتریان است.

  SSL رایگان وجود دارد — اما نگهداری آن در شرایط قطعی اینترنت بین الملل رایگان نیست

Let's Encrypt  رایگان  است. اما:

-  نصب و پیکربندی اولیه  وقت می‌برد
-  مانیتورینگ مداوم  برای اطمینان از تمدید به‌موقع لازم است
-  تمدید دستی  در شرایط اضطراری (مثل همین قطعی اینترنت) نیاز به کارشناس دارد
-  عیب‌یابی  وقتی Certbot خطا می‌دهد، تخصص می‌خواهد

وقتی یک شرکت هاستینگ هزینه‌ای برای خدمات SSL درخواست می‌کند، در واقع هزینه  نیروی انسانی متخصص  را طلب می‌کند — نه هزینه خود گواهی.

  مقایسه هزینه با ارزش

قطع شدن SSL یک سایت یعنی:
- مرورگرها آن را  ناامن  نشان می‌دهند
- گوگل ممکن است رتبه آن را  کاهش  دهد
- کاربران  اعتمادشان  را از دست می‌دهند
- در صورت داشتن فروشگاه آنلاین،  فروش متوقف  می‌شود

هزینه چند ساعت کار یک متخصص برای تمدید SSL، در مقابل این خسارات بسیار  ناچیز  است.

  چطور از این مشکل جلوگیری کنیم؟

  ۱. استفاده از DNS Challenge به جای HTTP Challenge

در شرایط قطعی اینترنت بین‌الملل، روش HTTP Challenge که نیاز به دسترسی خارجی دارد کار نمی‌کند. اما روش  DNS-01 Challenge  می‌تواند از طریق DNS داخلی انجام شود:

 
certbot certonly --manual --preferred-challenges dns -d example.com
 

  ۲. گواهی‌های پولی با اعتبار بیشتر

گواهی‌های تجاری مانند  Comodo   DigiCert   GlobalSign  با اعتبار یک‌ساله یا بیشتر، در شرایطی که تمدید خودکار ممکن نیست، فرصت بیشتری می‌دهند.

  ۳. مانیتورینگ فعال

سرویس‌هایی مانند  UptimeRobot  یا  SSL Labs  می‌توانند قبل از انقضای گواهی، اعلان ارسال کنند.

  ۴. آمادگی برای تمدید دستی

داشتن یک  رویه مستند  برای تمدید دستی SSL، به‌ویژه برای شرکت‌هایی که تعداد زیادی سایت مدیریت می‌کنند، ضروری است.

  درس‌هایی که از این بحران آموختیم

ما در آرتا رسانه از این تجربه چند درس مهم گرفتیم:

 اول:  زیرساخت اینترنت بین‌الملل یک تک‌نقطه شکست (Single Point of Failure) برای سیستم‌های امنیتی است که معمولاً نادیده گرفته می‌شود.

 دوم:  مستندسازی فرآیندهای اضطراری برای تمدید دستی SSL باید از قبل آماده باشد — نه زمانی که بحران شروع شده.

 سوم : ارتباط شفاف با مشتری درباره ماهیت فنی مشکل، هرچند دشوار، بهتر از سکوت است. وقتی مشتری بداند مشکل از کجاست، درک بهتری از موقعیت خواهد داشت.

 چهارم :  قیمت‌گذاری خدمات باید شامل  هزینه موقعیت‌های اضطراری  هم باشد — نه فقط سناریوی ایده‌آل.

  جمع‌بندی

گواهی SSL قلب تپنده امنیت هر سایت اینترنتی است. تاریخ انقضای ۹۰ روزه آن نه یک اشتباه طراحی، بلکه  یک تصمیم امنیتی آگاهانه  از سوی صنعت جهانی است.

وقتی زیرساخت اینترنت با چالش‌هایی مثل قطعی بین‌الملل روبرو می‌شود، همه چیز وابسته به آن هم تحت تأثیر قرار می‌گیرد — از جمله سیستم‌های تمدید خودکار SSL. در چنین شرایطی، کار متخصصان هاستینگ چند برابر می‌شود و هزینه‌ای که برای این خدمات اضافه درخواست می‌شود، کاملاً توجیه‌پذیر است.

اگر صاحب سایت هستید، بهترین کاری که می‌توانید انجام دهید این است:

- از شرکت هاستینگ یا توسعه‌دهنده خود بخواهید  سیستم هشدار انقضای SSL  روی سایتتان فعال باشد
- در قراردادهای خدمات،  تمدید دوره‌ای SSL  را به عنوان یک سرویس جداگانه لحاظ کنید
- در شرایط اضطراری، به متخصصی که شبانه‌روز برای برقراری سایت شما تلاش می‌کند، حق دستمزد عادلانه بدهید

  خدمات آرتا رسانه در زمینه SSL و امنیت وب

تیم آرتا رسانه با بیش از ۱۷ سال تجربه در توسعه و نگهداری وب‌سایت، خدمات زیر را ارائه می‌دهد:

- طراحی سایت اختصاصی

- طراحی سایت وردپرس

- نصب و پیکربندی گواهی SSL
- راه‌اندازی سیستم تمدید خودکار
- مانیتورینگ مستمر امنیت سایت
- عیب‌یابی و رفع مشکلات HTTPS

برای مشاوره رایگان با ما تماس بگیرید. ۰۹۱۹۳۴۲۶۲۵۱