نهال ایران

دوست

واسه بعضیا فروم با دامنه r98.ir بدون ارور کار میکنه

 
اگه راه حلی پیدا شد حتمن اطلاع رسانی میشه

به صورت تخصصی:

این مشکل معمولاً به دلیل ناتوانی مرورگرها در بررسی اعتبار گواهی SSL از طریق سرویس‌های آنلاین مانند OCSP یا CRL است. چون این سرویس‌ها در زمان قطعی در دسترس نیستند، مرورگرها نمی‌توانند مطمئن شوند که گواهی هنوز معتبر است یا باطل نشده، که این خود منجر به نمایش هشدارهای امنیتی یا عدم بارگذاری کامل سایت می‌شود. علاوه بر این، همگام‌سازی زمان سیستم با سرورهای جهانی (NTP) نیز در این شرایط قطع می‌شود؛ SSL به زمان دقیق وابسته است و هرگونه اختلاف زمانی، حتی چند دقیقه، می‌تواند باعث تشخیص اشتباه انقضای گواهی توسط مرورگر شود.

یکی از راه‌حل‌های رایج برای کاربران، تنظیم دستی ساعت سیستم و استفاده از DNSهای داخلی (مانند DNS ملی) است. این اقدامات اولیه می‌توانند در بسیاری از موارد مشکل نمایش هشدارهای SSL را برطرف کنند. همچنین، فعال کردن گزینه‌هایی مانند "Offline OCSP" در مرورگرها می‌تواند به کاهش وابستگی به چک آنلاین وضعیت گواهی کمک کند، اما این روش امنیتی نیست و احتمال حملات MITM را افزایش می‌دهد. برای مدیران سایت، روش امن‌تر، استفاده از OCSP Stapling است که در آن سرور به‌جای مرورگر، پاسخ تأییدیه وضعیت گواهی را از مرجع صدور گواهی (CA) دریافت و در طول اتصال ضمیمه می‌کند. این کار باعث می‌شود مرورگرها حتی در زمان قطعی اینترنت، بدون نیاز به اتصال مستقیم به اینترنت، از معتبر بودن گواهی مطمئن شوند.

استفاده از گواهی‌های داخلی یا خودامضا (self-signed) یکی دیگر از راه‌حل‌هاست که مدیران سایت در شرایط قطعی اینترنت به کار می‌برند. در این روش، گواهی توسط یک مرجع صدور گواهی داخلی یا حتی خود مدیر سایت امضا می‌شود. مشکل امنیتی این روش این است که مرورگرها و سیستم‌عامل‌ها به‌طور پیش‌فرض این گواهی‌ها را نمی‌شناسند و کاربر مجبور است آن‌ها را به‌صورت دستی نصب کند. این امر اعتماد به هویت سایت را کاهش می‌دهد و ارتباط بین کاربر و سایت را کمتر امن می‌کند، زیرا زنجیره اعتماد جهانی SSL شکسته می‌شود. این راهکار بیشتر برای شبکه‌های داخلی و محدود (اینترانت) مناسب است و برای وب‌سایت‌های عمومی توصیه نمی‌شود.

در نهایت، ارائه نسخه داخلی سایت یا استفاده از CDNهای داخلی نیز می‌تواند دسترسی کاربران را حفظ کند. با این حال، هر یک از این روش‌ها پیامدهای امنیتی خاص خود را دارند. مثلاً، غیرفعال کردن بررسی‌های امنیتی SSL در سمت کاربر یا مدیر سایت، هرچند دسترسی را ممکن می‌سازد، اما قابلیت اطمینان و امنیت کلی ارتباط را کاهش می‌دهد. OCSP Stapling به عنوان بهترین روش شناخته می‌شود که تعادل خوبی بین دسترسی و امنیت برقرار می‌کند، زیرا وابستگی به اینترنت را حذف کرده و در عین حال اعتبار گواهی را تأیید می‌کند. انتخاب هر راه‌حل نیازمند سنجش دقیق ریسک‌های امنیتی در برابر نیاز به دسترسی است.