گواهیهای SSL یکی از پایههای اصلی امنیت در فضای وب هستند. وقتی یک سایت با SSL امن میشود، دادههای کاربران بین مرورگر و سرور رمزنگاری شده و دسترسی غیرمجاز به اطلاعات شخصی یا تراکنشها جلوگیری میشود. شرکت Certum یکی از صادرکنندگان معتبر گواهیهای SSL است، اما اخیراً تغییراتی در Root CAهای خود ایجاد کرده که ممکن است در برخی محیطها باعث بروز مشکل در SSL Certum شود. در این مقاله به شما توضیح میدهیم که این تغییرات چیست، چه تاثیری بر سایت و کاربران دارد و چطور میتوان از بروز مشکل جلوگیری کرد.
چرا مشکل در SSL Certum رخ میدهد؟
از ۱۵ سپتامبر ۲۰۲۵، شرکت Certum شروع به جایگزینی Root CAهای قدیمی با Root CAهای جدید میکند. این تغییر بهدنبال تصمیم مرورگرهای Mozilla Firefox و Google Chrome صورت گرفته است که اعتماد به Root CAهایی که بیش از ۱۵ سال (برای گواهیهای TLS/SSL) و بیش از ۱۸ سال (برای S/MIME) عمر دارند را حذف کنند.
به عبارت دیگر، حتی اگر گواهیهای قدیمی هنوز معتبر باشند، مرورگرهای جدید آنها را به عنوان گواهی امن شناسایی نخواهند کرد. نتیجه مستقیم این تغییر میتواند ایجاد مشکل در SSL Certum برای سایتها یا سرویسهایی باشد که از گواهیهای قدیمی استفاده میکنند.
Root CAهای قدیمی که دیگر قابل اعتماد نیستند
Certum از سال ۲۰۲۵ فرآیند جایگزینی Root CAهای قدیمی با Root CAهای جدید را آغاز کرده است. Root CAهای قدیمی که اعتماد مرورگرها به آنها حذف میشود عبارتاند از:
- Certum CA – از این Root CA دیگر در مرورگرهای جدید اعتماد نمیشود
- Certum Trusted Network CA – اعتماد مرورگرها تا ۱۵ آوریل ۲۰۲۷ حذف میشود
- Certum Trusted Network CA 2 – اعتماد مرورگرها تا ۱۵ آوریل ۲۰۲۸ حذف میشود
اگر سایت یا سرور شما هنوز از این Root CAها استفاده میکند، پس از این تاریخها کاربران در مرورگرهای جدید با هشدار امنیتی مواجه خواهند شد و سایت شما دیگر به عنوان امن شناخته نمیشود.
Root CAهای جدید و مزایای آنها
Certum دو Root CA جدید معرفی کرده که از ۱۵ سپتامبر ۲۰۲۵ معتبر هستند:
- Certum Trusted Root CA
- گواهیهای SSL تا ۱۲ آوریل ۲۰۳۲
- گواهیهای S/MIME تا ۱۲ آوریل ۲۰۳۵
- گواهیهای SSL تا ۱۲ آوریل ۲۰۳۲
- Certum EC-384 CA
- گواهیهای SSL تا ۲۲ مارس ۲۰۳۳
- گواهیهای S/MIME تا ۲۲ مارس ۲۰۳۶
- گواهیهای SSL تا ۲۲ مارس ۲۰۳۳
این Root CAها در مرورگرها و سیستمهای اصلی مانند Windows، macOS، iOS و Android نسخه ۱۴ به بالا معتبر هستند. اما در سیستمهای قدیمی یا دستگاههایی که آپدیت گواهیها را دریافت نکردهاند، ممکن است هنوز مشکل در SSL Certum وجود داشته باشد.
برای این سیستمها، Certum امکان Cross-Certificate فراهم کرده است که سازگاری با Root CAهای قدیمی را حفظ میکند.
چه اقداماتی باید انجام دهید؟
برای جلوگیری از مشکل در SSL Certum و اطمینان از عملکرد بدون اختلال گواهیها، مراحل زیر پیشنهاد میشود:
- بررسی Root CA و Sub CA در سیستمها
اطمینان حاصل کنید که Root CA و Subordinate CA مربوط به Certum در Trusted Store سیستم، مرورگر و سرور شما نصب شده است. - استفاده از Cross-Certificate برای محیطهای قدیمی
اگر سرور یا کاربران شما از سیستمهای قدیمی استفاده میکنند که آپدیتهای امنیتی دریافت نمیکنند، نصب Cross-Certificate الزامی است. لینکهای مورد نیاز Certum برای Cross-Certificateها:- Certum Trusted Root CA: ctnca-ctrca.pem
- Certum EC-384 CA: ctnca-cec384ca.pem
- Certum Trusted Root CA: ctnca-ctrca.pem
- صدور مجدد گواهیها بعد از ۱۵ سپتامبر ۲۰۲۵
در صورتی که گواهی شما هنوز از Root CA قدیمی صادر شده، Certum امکان reissue یا صدور مجدد با Root CA جدید را فراهم کرده است. این کار باعث میشود که سایت شما در مرورگرهای جدید بدون هشدار امنیتی نمایش داده شود. - اجتناب از Certificate Pinning سخت
اگر سایت یا اپلیکیشن شما از Certificate Pinning استفاده میکند، ممکن است مهاجرت به Root CA جدید با مشکل مواجه شود. بهتر است این محدودیت را حذف یا بروزرسانی کنید.
| پیشنهاد مطالعه: آموزش گامبهگام نصب و فعال سازی SSL Certum در هاست |
پیامدهای عدم اقدام
اگر اقدامات بالا انجام نشود، ممکن است با خطای Certificate Not Trusted مواجه شوید. این هشدار باعث کاهش اعتماد کاربران و احتمال کاهش ترافیک سایت میشود. به علاوه، سرویسهای S/MIME برای ارسال ایمیل امن نیز با مشکل مواجه خواهند شد.
جمعبندی
مشکل در SSL Certum ناشی از تغییر Root CAهای Certum است. برای اطمینان از عملکرد صحیح سایت و خدمات، لازم است:
- Root CAهای جدید نصب شوند.
- در سیستمهای قدیمی، Cross-Certificateها اعمال شوند.
- در صورت نیاز، گواهیها دوباره صادر شوند.
با رعایت این نکات، سایت و سرویسهای شما امن باقی میمانند و کاربران بدون مشکل به آنها دسترسی خواهند داشت.
منبع: [support.certum.eu]
