محدودیت های سرویس گواهینامه رایگان Let’s Encrypt
بر روی سرویس گواهینامه رایگان Let’s Encrypt محدودیتهای خاصی تعریف شده است. جزییات کامل این محدودیتها را می توانید در این آدرس مشاهده کنید.
محدودیتهای مهم و اصلی که در هنگام صدور گواهینامههای SSL برای یک دامین اعمال میشوند به شرح زیر است:
۱. گواهینامههای رایگان Let’s Encrypt از نوع چند دامینی (گواهینامه SAN یا UUC) بوده و هر گواهینامه میتواند بر روی بیش از یک آدرس نصب گردد. بنابراین یک گواهینامه SSL میتواند به صورت مشترک برای چند دامین مختلف و سابدامینهای آنها مورد استفاده قرار گیرد. لیست آدرسهای پشتیبانی شده توسط هر گواهینامه در هنگام صدور آن گواهینامه مشخص میشود. در حال حاضر هر گواهینامه می تواند حداکثر 100 هاست نیم (دامین/سابدامین) مختلف را شامل شود.
۲. در طول یک هفته برای هر دامین و سابدامینهای آن حداکثر 20 گواهینامه SSL مختلف قابل صدور است. این محدودیت به خصوص زمانی دارای اهمیت است که چندین سابدامین از یک دامین به صورت مجزا از دامین اصلی میزبانی شوند. (اضافه کردن سابدامین به عنوان دامین اصلی در کنار خود دامین یا میزبانی یک سابدامین بر روی یک سرویس هاستینگ جداگانه). در این صورت برای هر سابدامین میبایست گواهینامه SSL جداگانه درخواست شود که این تعداد در طول یک هفته نمیتواند بیشتر از 20 گواهینامه شود. با توجه به اینکه گواهینامههای ارایه شده از نوع چند دامینی هستند شما میتوانید یک گواهینامه SSL با پشتیبانی از چندین سابدامین مختلف یک دامین را درخواست نمایید و به این شکل قابلیت نصب گواهینامه رایگان SSL بر روی تعداد بسیار بیشتری از سابدامینهای یک دامین را به دست آورید.
۳. علاوه بر محدودیت قبلی، این سرویس دارای محدودیت تعداد گواهینامه های تکراری قابل صدور در طول یک هفته نیز می باشد. گواهینامه تکراری به گواهینامهای گفته می شود که تعداد و نام هاستنیمهای(دامین/سابدامین) مشخص شده در آن دقیقا با تعداد و نام هاستنیمهای تعیین شده در یک یا چند گواهینامه قبلی صادر شده یکسان باشد. به عنوان مثال دو گواهینامه مختلف صادر شده توسط Let’s Encrypt که تنها آدرسهای example.com و www.example.com را شامل شوند دو گواهینامه تکراری محسوب میشوند. این سرویس اجازه صدور حداکثر 5 گواهینامه تکراری در طول یک هفته را ارایه میکند.
نکات مهم جهت استفاده مناسب و بدون مشکل از سرویس گواهینامه رایگان
علاوه بر در نظر گرفتن محدودیتهای این سرویس، به منظور استفاده مناسب از آن پیشنهاد می شود حتما موارد زیر را در نظر داشته باشید:
۱. هر گواهینامه برای یک دوره 90 روزه صادر شده و پس از گذشت این مدت گواهینامه میبایست تمدید شود. در کنترل پنل دایرکتادمین تمدید گواهینامه 30 روز پیش از تاریخ انقضا به صورت خودکار انجام میشود.
۲. پیش از صدور یا تمدید یک گواهینامه، سرویس Let’s Encrypt میبایست از مالکیت درخواست کننده بر دامینها و سابدامینهای مشخص شده در گواهینامه درخواستی اطمینان حاصل کند. در طی این فرایند تایید، اطلاعاتی بین درخواست کننده (سرویس هاستینگ شما) و سرورهای Let’s Encrypt تبادل شده و به ویژه Let’s Encrypt میبایست بدون مشکل به تمامی دامینها و سابدامینهای مشخص شده، از طریق وب دسترسی داشته باشد. بنابراین توجه به موارد زیر در هنگام استفاده از این سرویس دارای اهمیت ویژه میباشد:
- تمامی دامینها و سابدامینهای یک گواهینامه، در هنگام صدور یا تمدید آن گواهینامه، میبایست فعال بوده و به آدرس IP وب بر روی سرویس هاستینگ شما در نت افراز اشاره کنند. چنانچه یک دامین یا سابدامین در کنترل پنل دایرکتادمین به سرویس شما اضافه شده باشد اما به دلایلی مانند منقضی بودن دامین، صحیح نبودن نیم سرورهای دامین و یا اتصال یک سابدامین به یک آدرس IP خارجی، به آدرس IP سرویس هاستینگ شما اشاره نکند امکان تایید هویت مالکیت آن دامین/سابدامین وجود نخواهد داشت. اگر حتی یکی از دامینها/سابدامینهای مشخص شده در یک گواهینامه چنین مشکلی داشته باشد، فرایند صدور یا تمدید گواهینامه با مشکل مواجه خواهد شد. در صورت اتصال غیر مستقیم یک دامین/سابدامین به سرویس هاستینگ شما از طریق سرویسهای کلود پروکسی مانند Cloudflare، تنها در صورتیکه آدرسهای زیر شاخه /.well-known/ آن دامین/سابدامین توسط سرویس کلود پروکسی برای سرویس هاستینگ شما در نتافراز فوروارد شود استفاده از سرویس گواهینامه رایگان از طریق در دایرکتادمین بر روی آن دامین/سابدامین امکانپذیر خواهد بود.
- با توجه به اینکه در طی فرایند صدور/تمدید یک گواهینامه میبایست تمامی آدرسها به روش مورد اشاره تعیین هویت شوند، ممکن است در صورت بروز اختلالی در طی این فرایند مانند مشکلات احتمالی شبکه، سرور یا سرویس Let’s Encrypt فرایند تایید هویت یا صدور گواهینامه با شکست مواجه شود. در صورت مواجه شدن با این مشکل در هنگام صدور گواهینامه میتوانید پس از چند دقیقه دوباره درخواست صدور گواهینامه را در بخش گواهینامههای SSL در دایرکت ادمین ارسال کنید.
- کنترل پنل دایرکتادمین به صورت خودکار 30 روز پیش از انقضای یک گواهینامه برای تمدید آن اقدام خواهد کرد. چنانچه عملیات تمدید موفقیت آمیز نباشد، پس از گذشت ۲۴ ساعت دوباره برای تمدید گواهینامه اقدام خواهد کرد. این عملیات در صورت نیاز هر ۲۴ ساعت یکبار تکرار خواهد شد. در این حالت چنانچه علت شکست عملیات تمدید اختلالات مورد اشاره در بند قبلی باشد، معمولا در طی درخواستهای بعدی فرایند تمدید با موفقیت به پایان خواهد رسید.
۳. نتافراز به صورت روزانه موارد غیر موفق تمدید خودکار گواهینامههای رایگان را بر روی تمامی سرورهای خود بررسی کرده و اقدامات لازم جهت رفع مشکل هر دامین از سوی نت افراز پیگیری خواهد شد. اقدامات صورت گرفته به شرح زیر است:
- چنانچه اختلال در تمدید به علت عدم اشاره تمامی هاست.نیمهای مشخص شده در گواهینامه به سرویس میزبانی وب مربوطه باشد، نتافراز گواهینامه رایگان و تمدید خودکار آن را به صورت کامل بر روی دامین اصلی مورد نظر غیر فعال کرده و مالک سرویس را از این موضوع مطلع خواهد کرد. این اختلال زمانی ایجاد می شود که دامینهای مشخص شده در گواهینامه یا منقضی شده باشند و یا به اکانت هاستینگ دیگری در نت افراز یا سروری خارج از نتافراز اشاره کنند. در این حالت مالک سرویس میتواند پس از رفع مشکل و اتصال دوباره دامینها به سرویس میزبانی مربوطه در نتافراز، از طریق دایرکت ادمین یک گواهینامه جدید رایگان بر روی دامین اصلی مورد نظر نصب کند.
- چنانچه اختلال در تمدید به دلیل عدم اشاره بخشی از هاست.نیمهای مشخص شده در گواهینامه نصب شده باشد، نتافراز تلاش می کند یک گواهینامه جدید رایگان شامل هاست.نیمهای فعال باقی مانده بر روی آن دامین اصلی نصب کند. در این حالت نیز نتافراز مالک سرویس را از این موضوع مطلع کرده و ایشان میتواند پس از رفع مشکل، یگ گواهینامه جدید رایگان شامل تمامی هاست.نیم های مورد نظر را بر روی آن دامین اصلی نصب کند.
۴. کنترل پنل دایرکتادمین در هنگام صدور گواهینامه رایگان بر روی یک دامین امکان انتخاب تمامی دامینهای اصلی سرویس، تمامی دامینهای پارک شده بر روی تمامی دامینهای آن سرویس و نیز تمامی سابدامینهای دامینهای اصلی آن سرویس برای اضافه شدن به لیست دامینهای گواهینامه جدید صادر شده را فراهم میکند. به منظور کاهش مشکلات ناشی مدیریت و تمدید گواهینامههای صادر شده پیشنهاد میشود در هنگام درخواست گواهینامه در بخش گواهینامههای SSL مربوط به یک دامین اصلی در دایرکتادمین، حداکثر تنها آن دامین، دامینهای پارک شده بر روی آن دامین و سابدامینهای آن دامین برای اضافه کردن به گواهینامه جدید صادر شده انتخاب شوند.
۵. در هنگام نصب گواهینامه رایگان در بخش گواهینامههای SSL یک دامین اصلی در دایرکتادمین، گواهینامه صادر شده به صورت خودکار بر روی آن دامین اصلی، تمامی دامینهای پارک شده و سابدامینهای آن دامین فعال خواهد شد. چنانچه گواهینامه صادر شده دامینهای اصلی، پارک دامینها و سابدامینهای دیگری را شامل شود، نصب گواهینامه بر روی این آدرسهای اضافه به صورت خودکار انجام نخواهد شد. برای فعال سازی گواهینامه بر روی این آدرسها میبایست کلید خصوصی، گواهینامه صادر شده و گواهینامه روت Let’s Encrypt در بخش گواهینامههای SSL دامین اصلی مربوطه به صورت دستی نصب شوند.
۶. طبق اعلام Let’s Encrypt سایتهای مربوط به ارگانهای وابسته به دولت ایران یا سایر کشورهایی که در لیست تحریمهای دولت آمریکا قرار دارند مجاز به استفاده از این سرویس نیستند، سایر وبسایتها، حتی سایتهایی که از دامینهای ir استفاده میکنند، مشکلی برای استفاده از این سرویس ندارند.
۷. گواهینامههای رایگان ارایه شده در بخش گواهینامههای SSL در دایرکتادمین توسط Let’s Encrypt صادر و مدیریت میشوند. نتافراز کنترلی بر روی این سرویس و محدودیتهای آن نداشته و بنابراین مشکلات احتمالی ایجاده شده در اثر استفاده از این سرویس مانند احتمال قطع ارایه این سرویس در آینده یا اختلال در تمدید به موقع یک گواهینامه به دلیل اختلال ایجاد شده در این سرویس مسئولیتی را متوجه نتافراز به عنوان شرکت ارایه دهنده سرویس میزبانی وب نخواهد کرد.