آموزش SSL و امنیت سایت

آموزش تمدید گواهی SSL؛ AutoSSL، Let’s Encrypt و رفع خطاهای تمدید

اگر SSL سایت شما منقضی شود، مرورگر به کاربران هشدار می‌دهد. این مقاله کمک می‌کند قبل از انقضا، تمدید SSL را درست بررسی و خطاها را رفع کنید.

AutoSSLدستیخطاهاFAQ
تمدید SSL چیست؟AutoSSLتمدید دستیخطاهاچک‌لیستFAQ

تمدید SSL چیست و چرا نباید به دقیقه آخر موکول شود؟

گواهی SSL تاریخ انقضا دارد. وقتی SSL منقضی شود، مرورگرها به کاربر هشدار امنیتی نشان می‌دهند و اعتماد مشتری، فروش و سئو سایت آسیب می‌بیند. تمدید SSL یعنی صدور یا نصب گواهی جدید قبل از پایان اعتبار قبلی.

در هاست‌های cPanel معمولاً AutoSSL می‌تواند گواهی‌های رایگان Domain Validated را به‌صورت خودکار نصب و تمدید کند. اما خودکار بودن به معنی بی‌نیازی از بررسی نیست؛ اگر DNS اشتباه باشد، CAA محدود باشد، دامنه پشت CDN درست تنظیم نشده باشد یا فایل‌های DCV در دسترس نباشند، تمدید انجام نمی‌شود.

قاعده طلایی

SSL را زمانی بررسی کنید که هنوز کار می‌کند؛ نه وقتی منقضی شده و کاربران در حال دیدن خطای امنیتی هستند.

تمدید SSL با AutoSSL در cPanel/WHM

  1. در cPanel وضعیت SSL را بررسی کنید. وارد SSL/TLS Status شوید و دامنه‌های دارای SSL یا بدون SSL را ببینید.
  2. Run AutoSSL را اجرا کنید. اگر دسترسی دارید، AutoSSL را برای دامنه اجرا کنید.
  3. لاگ‌ها را بخوانید. در سطح سرور، لاگ‌های AutoSSL می‌توانند دلیل شکست DCV، DNS یا CAA را نشان دهند.
  4. دامنه و www را جدا بررسی کنید. گاهی دامنه اصلی SSL دارد اما www یا زیردامنه‌ها پوشش داده نشده‌اند.
  5. بعد از صدور، HTTPS را تست کنید. خطای Mixed Content یا redirect loop را هم بررسی کنید.
# اجرای AutoSSL برای همه کاربران در WHM/cPanel server
/usr/local/cpanel/bin/autossl_check --all

# مشاهده لاگ‌های AutoSSL
ls -lah /var/cpanel/logs/autossl

# بررسی تاریخ انقضای SSL دامنه
openssl s_client -connect example.com:443 -servername example.com </dev/null 2>/dev/null | openssl x509 -noout -dates -issuer -subject

تمدید دستی SSL چه زمانی لازم می‌شود؟

اگر از SSL پولی، OV، EV، wildcard خاص یا گواهی شرکتی استفاده می‌کنید، معمولاً باید گواهی جدید از صادرکننده دریافت شود. سپس فایل Certificate، Private Key و CA Bundle در cPanel نصب می‌شود. این کار باید با دقت انجام شود، چون کلید خصوصی اشتباه یا CA Bundle ناقص باعث خطای SSL می‌شود.

  • قبل از نصب دستی، از گواهی و کلید فعلی بکاپ بگیرید.
  • Private Key باید با Certificate جدید match باشد.
  • برای دامنه‌های پشت CDN، وضعیت SSL در CDN و سرور را جدا بررسی کنید.
  • اگر از AutoSSL استفاده می‌کنید، بی‌دلیل گواهی دستی را جایگزین نکنید.

خطاهای رایج تمدید SSL و راه‌حل

۱. AutoSSL خطای DCV می‌دهد

DCV یعنی تایید مالکیت دامنه. اگر دامنه به IP دیگری اشاره کند، مسیر HTTP بسته باشد، redirect عجیب وجود داشته باشد یا CDN پاسخ متفاوت بدهد، DCV شکست می‌خورد. ابتدا A Record، www، فایروال و مسیر HTTP را تست کنید.

۲. خطای CAA رخ می‌دهد

رکورد CAA تعیین می‌کند کدام صادرکننده مجاز است SSL صادر کند. اگر CAA فقط یک CA خاص را اجازه داده باشد، AutoSSL با ارائه‌دهنده دیگر نمی‌تواند گواهی بگیرد.

۳. SSL نصب شده اما مرورگر هنوز خطا می‌دهد

ممکن است CDN هنوز گواهی قبلی را نشان دهد، زنجیره CA ناقص باشد، گواهی برای www نصب نشده باشد یا سایت Mixed Content داشته باشد. تست را هم از مرورگر و هم با openssl انجام دهید.

۴. سایت بعد از HTTPS دچار redirect loop شد

این مشکل در وردپرس و سایت‌های پشت Cloudflare/CDN زیاد دیده می‌شود. تنظیمات آدرس سایت، Force HTTPS، SSL Mode در CDN و ریدایرکت‌های htaccess را بررسی کنید.

چک‌لیست تمدید بدون دردسر

  • دامنه و www به IP درست اشاره کنند.
  • رکورد CAA با صادرکننده SSL سازگار باشد.
  • پورت 80 و 443 باز باشند.
  • CDN یا پروکسی تنظیم SSL ناسازگار نداشته باشد.
  • بعد از نصب، تاریخ انقضا و issuer را بررسی کنید.
  • برای وردپرس، Mixed Content و redirect loop را تست کنید.

سوالات متداول تمدید SSL

آیا SSL رایگان خودکار تمدید می‌شود؟

در بسیاری از هاست‌های cPanel، AutoSSL می‌تواند گواهی‌های Domain Validated را خودکار نصب و تمدید کند؛ اما DNS، CAA، redirect یا محدودیت حساب می‌تواند باعث شکست تمدید شود.

چرا با وجود AutoSSL هنوز خطای SSL می‌بینم؟

ممکن است دامنه به IP اشتباه اشاره کند، گواهی روی دامنه نصب نشده باشد، مرورگر کش کرده باشد، یا CDN هنوز گواهی خودش را به‌روز نکرده باشد.

چند روز قبل از انقضا باید SSL را بررسی کنم؟

بهتر است حداقل یک هفته قبل از انقضا وضعیت SSL، DNS و AutoSSL را بررسی کنید تا برای رفع خطا زمان داشته باشید.

CAA Record چه اثری روی تمدید SSL دارد؟

CAA مشخص می‌کند کدام CA اجازه صدور SSL برای دامنه را دارد. اگر CAA با صادرکننده فعلی هماهنگ نباشد، تمدید شکست می‌خورد.

آیا تمدید SSL همان نصب دوباره SSL است؟

برای SSL خودکار معمولاً تمدید توسط سیستم انجام می‌شود. برای SSL خریداری‌شده، ممکن است نیاز به صدور گواهی جدید، دریافت فایل‌ها و نصب دستی داشته باشید.

جمع‌بندی

تمدید SSL فقط یک دکمه نیست؛ ترکیبی از DNS درست، تایید دامنه، تنظیمات سرور، CDN و نصب صحیح گواهی است. اگر AutoSSL فعال باشد و دامنه درست resolve شود، معمولاً تمدید بدون دردسر انجام می‌شود. اما برای سایت‌های مهم، بررسی دوره‌ای SSL و خواندن لاگ‌ها ضروری است.