محدودیت های سرویس گواهینامه رایگان Let’s Encrypt

بر روی سرویس گواهینامه رایگان Let’s Encrypt محدودیت‌های خاصی تعریف شده است. جزییات کامل این محدودیت‌ها را می توانید در وبسایت رسمی Let's Encrypt مشاهده کنید.

محدودیت‌های مهم و اصلی که در هنگام صدور گواهینامه‌های SSL برای یک دامین اعمال می‌شوند به شرح زیر است:

۱. گواهینامه‌های رایگان Let’s Encrypt از نوع چند دامینی (گواهینامه SAN یا UUC) بوده و هر گواهینامه می‌تواند بر روی بیش از یک آدرس نصب گردد. بنابراین یک گواهینامه SSL می‌تواند به صورت مشترک برای چند دامین مختلف و سابدامین‌های آنها مورد استفاده قرار گیرد. لیست آدرس‌های پشتیبانی شده توسط هر گواهینامه در هنگام صدور آن گواهینامه مشخص می‌شود. در حال حاضر هر گواهینامه می تواند حداکثر ۱۰۰ هاست نیم (دامین/سابدامین) مختلف را شامل شود.

۲. در طول یک هفته برای هر دامین و سابدامین‌های آن حداکثر ۲۰ گواهینامه SSL مختلف قابل صدور است. این محدودیت به خصوص زمانی دارای اهمیت است که چندین سابدامین از یک دامین به صورت مجزا از دامین اصلی میزبانی شوند. (اضافه کردن سابدامین به عنوان دامین اصلی در کنار خود دامین یا میزبانی یک سابدامین بر روی یک سرویس هاستینگ جداگانه). در این صورت برای هر سابدامین می‌بایست گواهینامه SSL جداگانه درخواست شود که این تعداد در طول یک هفته نمی‌تواند بیشتر از ۲۰ گواهینامه شود. با توجه به اینکه گواهینامه‌های ارایه شده از نوع چند دامینی هستند شما می‌توانید یک گواهینامه SSL با پشتیبانی از چندین سابدامین مختلف یک دامین را درخواست نمایید و به این شکل قابلیت نصب گواهینامه رایگان SSL بر روی تعداد بسیار بیشتری از سابدامین‌های یک دامین را به دست آورید.

۳. علاوه بر محدودیت قبلی، این سرویس دارای محدودیت تعداد گواهینامه های تکراری قابل صدور در طول یک هفته نیز می باشد. گواهینامه‌ تکراری به گواهینامه‌ای گفته می شود که تعداد و نام هاست‌نیم‌های(دامین/سابدامین) مشخص شده در آن دقیقا با تعداد و نام هاست‌نیم‌های تعیین شده در یک یا چند گواهینامه قبلی صادر شده یکسان باشد. به عنوان مثال دو گواهینامه مختلف صادر شده توسط Let’s Encrypt که تنها آدرس‌های example.com و www.example.com را شامل شوند دو گواهینامه تکراری محسوب می‌شوند. این سرویس اجازه صدور حداکثر ۵ گواهینامه تکراری در طول یک هفته را ارایه می‌کند.

 

محدودیت‌های اعمال شده در این سرویس ممکن است در آینده به دفعات تغییر داده شوند که این تغییرات معمولا کاهش سطح محدودیت‌های اعمال شده و یا اضافه کردن محدودیت های جدید را شامل می‌شود. بنابراین در صورت استفاده گسترده از این سرویس و ایجاد تعداد بالای گواهینامه‌های SSL بر روی یک دامین پیشنهاد می‌شود به صورت دوره‌ای اطلاعات ارایه شده در این صفحه و یا صفحه مرجع محدودیت‌های سرویس Let's Encrypt را مرور نمایید.

نکات مهم جهت استفاده مناسب و بدون مشکل از سرویس گواهینامه رایگان

علاوه بر در نظر گرفتن محدودیت‌های این سرویس، به منظور استفاده مناسب از آن پیشنهاد می شود حتما موارد زیر را در نظر داشته باشید:

۱. هر گواهینامه برای یک دوره ۹۰ روزه صادر شده و پس از گذشت این مدت گواهینامه می‌بایست تمدید شود. در کنترل پنل دایرکت‌ادمین تمدید گواهینامه ۳۰ روز پیش از تاریخ انقضا به صورت خودکار انجام می‌شود.

۲. پیش از صدور یا تمدید یک گواهینامه، سرویس Let’s Encrypt می‌بایست از مالکیت درخواست کننده بر دامین‌ها و سابدامین‌های مشخص شده در گواهینامه درخواستی اطمینان حاصل کند. در طی این فرایند تایید، اطلاعاتی بین درخواست کننده (سرویس هاستینگ شما) و سرورهای Let’s Encrypt تبادل شده و به ويژه Let’s Encrypt می‌بایست بدون مشکل به تمامی دامین‌ها و سابدامین‌های مشخص شده، از طریق وب دسترسی داشته باشد. بنابراین توجه به موارد زیر در هنگام استفاده از این سرویس دارای اهمیت ويژه می‌باشد:

  • تمامی دامین‌ها و سابدامین‌های یک گواهینامه، در هنگام صدور یا تمدید آن گواهینامه، می‌بایست فعال بوده و به آدرس IP وب بر روی سرویس هاستینگ شما در نت افراز اشاره کنند. چنانچه یک دامین یا سابدامین در کنترل پنل دایرکت‌ادمین به سرویس شما اضافه شده باشد اما به دلایلی مانند منقضی بودن دامین، صحیح نبودن نیم سرورهای دامین و یا اتصال یک سابدامین به یک آدرس IP خارجی، به آدرس IP سرویس هاستینگ شما اشاره نکند امکان تایید هویت مالکیت آن دامین/سابدامین وجود نخواهد داشت. اگر حتی یکی از دامین‌ها/سابدامین‌های مشخص شده در یک گواهینامه چنین مشکلی داشته باشد، فرایند صدور یا تمدید گواهینامه با مشکل مواجه خواهد شد. در صورت اتصال غیر مستقیم یک دامین/سابدامین به سرویس هاستینگ شما از طریق سرویس‌های کلود پروکسی مانند Cloudflare، تنها در صورتیکه آدرس‌های زیر شاخه /.well-known/ آن دامین/سابدامین توسط سرویس کلود پروکسی برای سرویس هاستینگ شما در نت‌افراز فوروارد شود استفاده از سرویس گواهینامه رایگان از طریق در دایرکت‌ادمین بر روی آن دامین/سابدامین امکانپذیر خواهد بود.
  • با توجه به اینکه در طی فرایند صدور/تمدید یک گواهینامه می‌بایست تمامی آدرس‌ها به روش مورد اشاره تعیین هویت شوند، ممکن است در صورت بروز اختلالی در طی این فرایند مانند مشکلات احتمالی شبکه، سرور یا سرویس Let’s Encrypt فرایند تایید هویت یا صدور گواهینامه با شکست مواجه شود. در صورت مواجه شدن با این مشکل در هنگام صدور گواهینامه می‌توانید پس از چند دقیقه دوباره درخواست صدور گواهینامه را در بخش گواهینامه‌های SSL در دایرکت ادمین ارسال کنید.
  • کنترل پنل دایرکت‌ادمین به صورت خودکار ۳۰ روز پیش از انقضای یک گواهینامه برای تمدید آن اقدام خواهد کرد. چنانچه عملیات تمدید موفقیت آمیز نباشد، دایرکت‌ادمین مالک سرویس را از طریق ایمیل از جزییات مشکل ایجاد شده مطلع خواهد کرد. همچنین دایرکت‌ادمین در چنین مواردی پس از گذشت ۲۴ ساعت دوباره برای تمدید گواهینامه اقدام خواهد کرد. این عملیات در صورت نیاز هر ۲۴ ساعت یکبار تکرار خواهد شد. در این حالت چنانچه علت شکست عملیات تمدید اختلالات مورد اشاره در بند قبلی باشد، معمولا در طی درخواست‌های بعدی فرایند تمدید با موفقیت به پایان خواهد رسید. چنانچه مشکل مربوط به تایید هویت آدرس‌های گواهینامه و یا عبور از یکی از محدودیت‌های سرویس Let’s Encrypt باشد، رفع مشکل می‌بایست از سوی مالک سرویس پیگیری شود.
  • با توجه به اینکه بخش مدیریت گواهینامه‌های Let’s Encrypt در دایرکت‌ادمین در حال حاضر در وضعیت بتا (آزمایشی) قرار داشته و ممکن است باگ‌های نرم‌افزاری در این بخش وجود داشته باشد، به منظور اطمینان از تمدید بدون مشکل یک گواهینامه توسط دایرکت‌ادمین، پیشنهاد می شود تاریخ انقضای بعدی هر گواهینامه را یادداشت نموده و حداقل ۵ روز پیش از این تاریخ بررسی کنید که آیا گواهینامه تمدید شده است یا خیر. در صورت عدم تمدید حتما موضوع را پیگیری نموده و در صورت نیاز با واحد پشتیبانی هاستکام تماس حاصل فرمایید.

۳. کنترل پنل دایرکت‌ادمین در هنگام صدور گواهینامه رایگان بر روی یک دامین امکان انتخاب تمامی دامین‌های اصلی سرویس، تمامی دامین‌های پارک شده بر روی تمامی دامین‌های آن سرویس و نیز تمامی سابدامین‌های دامین‌های اصلی آن سرویس برای اضافه شدن به لیست دامین‌های گواهینامه جدید صادر شده را فراهم می‌کند. به منظور کاهش مشکلات ناشی مدیریت و تمدید گواهینامه‌های صادر شده پیشنهاد می‌شود در هنگام درخواست گواهینامه در بخش گواهینامه‌های SSL مربوط به یک دامین اصلی در دایرکت‌ادمین، حداکثر تنها آن دامین، دامین‌های پارک شده بر روی آن دامین و سابدامین‌های آن دامین برای اضافه کردن به گواهینامه جدید صادر شده انتخاب شوند.

۴. در هنگام نصب گواهینامه رایگان در بخش گواهینامه‌های SSL یک دامین اصلی در دایرکت‌ادمین، گواهینامه صادر شده به صورت خودکار بر روی آن دامین اصلی، تمامی دامین‌های پارک شده و سابدامین‌های آن دامین فعال خواهد شد. چنانچه گواهینامه صادر شده دامین‌های اصلی، پارک دامین‌ها و سابدامین‌های دیگری را شامل شود، نصب گواهینامه بر روی این آدرس‌های اضافه به صورت خودکار انجام نخواهد شد. برای فعال سازی گواهینامه بر روی این آدرس‌ها می‌بایست کلید خصوصی، گواهینامه صادر شده و گواهینامه روت Let’s Encrypt در بخش گواهینامه‌های SSL دامین اصلی مربوطه به صورت دستی نصب شوند.

۵. طبق اعلام Let’s Encrypt سایت‌های مربوط به ارگان‌های وابسته به دولت ایران یا سایر کشورهایی که در لیست تحریم‌های دولت آمریکا قرار دارند مجاز به استفاده از این سرویس نیستند، سایر وبسایت‌ها، حتی سایت‌هایی که از دامین‌های ir استفاده می‌کنند، مشکلی برای استفاده از این سرویس ندارند.

۶. گواهینامه‌های رایگان ارایه شده در بخش گواهینامه‌های SSL در دایرکت‌ادمین توسط Let’s Encrypt صادر و مدیریت می‌شوند. نت‌افراز کنترلی بر روی این سرویس و محدودیت‌های آن نداشته و بنابراین مشکلات احتمالی ایجاده شده در اثر استفاده از این سرویس مانند احتمال قطع ارایه این سرویس در آینده یا اختلال در تمدید به موقع یک گواهینامه به دلیل اختلال ایجاد شده در این سرویس  مسئولیتی را متوجه نت‌افراز به عنوان شرکت ارایه دهنده سرویس میزبانی وب نخواهد کرد.



۲۷ فروردین ۱۳۹۷







« برگشت