לוח בקרה 7 במאי 2026

תפוגת תעודת SSL/TLS: למה Let's Encrypt שלך לא מתחדש

תעודת SSL שתפוג גורמת לדפדפנים להציג אזהרה אדומה. כך מאתרים למה החידוש האוטומטי כשל ומחדשים מיד.

תעודת SSL שתפוג היא לא בעיה שמסתתרת. ברגע שהיא פגה, כל דפדפן מודרני יציג שגיאה אדומה ענקית - "Your connection is not private" - וכל גולש שניסה להיכנס לאתר ימצא את עצמו מול קיר. RankPlus מתריע מספיק זמן לפני כדי לאפשר חידוש שקט בלי downtime.

למה זה משנה

תעודת TLS מצפינה את התעבורה בין הדפדפן לשרת. כשהיא פגה, הצופן עדיין עובד טכנית, אבל הדפדפן מסרב לסמוך על התעודה ומציג אזהרה. בפועל, גוגל כרום, פיירפוקס וספארי חוסמים גישה לחלוטין בלי לחיצה מפורשת על "Advanced > Proceed". 95% מהגולשים פשוט לוחצים Back ועוזבים.

השלכות נוספות: SEO - Google מוריד אתרים עם תעודות פגות בדירוג. API ו-webhook integrations - שירותים אחרים שמתחברים לאתר שלך ידחו את החיבור (לרוב יש להם CA validation מחמיר). חיבור לשירותי תשלום - Stripe, PayPal, ספק סליקה דורשים HTTPS תקין.

תעודות Let's Encrypt פופולריות (חינמיות) תקפות ל-90 יום בלבד וצריכות לחדש כל ~60 יום. תעודות מסחריות (DigiCert, Sectigo, Comodo) ל-12 חודש או 24. אם הניטור מתריע על תעודה שתפוג בפחות מ-30 יום, סימן שהחידוש האוטומטי לא קרה - וזה מה שצריך לאתר ולתקן.

איך לזהות

RankPlus מתחבר ל-HTTPS endpoint של האתר, מקבל את התעודה ב-handshake וקורא את שדה Not After שלה. אם פחות מ-30 יום - מתריע. בדיקה ידנית:

echo | openssl s_client -servername example.com -connect example.com:443 2>/dev/null | openssl x509 -noout -dates

או באתר https://www.ssllabs.com/ssltest/ שמראה תאריך תפוגה ודירוג מלא של התעודה.

איך לתקן

  1. אם זו Let's Encrypt דרך לוח אחסון (cPanel/Plesk/DirectAdmin): גש ל-SSL/TLS > Let's Encrypt. בדוק את סטטוס "Auto-renew" - אם כבוי, הפעל. לחץ "Renew Now" או "Force Renewal" כדי לחדש מיד.
  2. אם זה certbot ב-VPS: הרץ sudo certbot renew --dry-run כדי לבדוק שהחידוש עובד. ב-output תראה "Cert not yet due for renewal" (תקין) או שגיאה. אם שגיאה, הרץ sudo certbot renew --force-renewal.
  3. אם הסיבה היא ACME challenge חסום: בעיה נפוצה. וודא ש-/.well-known/acme-challenge/ נגיש ב-HTTP (לא הפניה כפויה ל-HTTPS על נתיב זה). ב-.htaccess:
    RewriteEngine On
RewriteCond %{REQUEST_URI} !^/\.well-known/acme-challenge/
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
    שורת ה-RewriteCond הראשונה מחריגה את ה-challenge.
  4. אם אתה מאחורי Cloudflare/CDN: יש שתי תעודות - באתר המקור (Origin Server) ובCloudflare Edge. ודא ששתיהן תקפות. תעודת Origin של Cloudflare תקפה ל-15 שנה - מומלץ.
  5. אם זו תעודה מסחרית: גש לרשם התעודות (DigiCert, Sectigo) וחדש דרכם. תקבל קובץ CSR להעלאה לשרת.
  6. בדוק את התוצאה: https://www.ssllabs.com/ssltest/ אמור להראות תאריך תפוגה חדש (לפחות שנה לתעודות מסחריות, 90 יום ל-Let's Encrypt) ודירוג A או A+.
  7. הגדר תזכורת ב-cron אם אתה מנהל VPS עצמית:
    0 3 * * * /usr/bin/certbot renew --quiet --post-hook "systemctl reload nginx"
    זה מנסה חידוש כל יום ב-03:00. אם לא צריך - לא יעשה כלום.

טעויות נפוצות

  • שכחת domain validation: Let's Encrypt מנסה לאמת בעלות דרך HTTP-01 (קובץ זמני) או DNS-01 (רשומת TXT). אם DNS שיניתם לאחרונה ולא הפעלתם propagation, האימות יכשל.
  • תעודה לא כוללת את כל הסאבדומיינים: example.com לא תקפה ל-www.example.com. ודא שגם www נכלל - או השתמש בתעודת wildcard.
  • שינוי IP של השרת בלי לעדכן: אם DNS עדיין מצביע ל-IP ישן, ACME challenge נכשל.
  • Mixed content: גם אחרי תעודה תקינה, אם בקוד יש http:// hardcoded לתמונות/scripts - הדפדפן מציג אזהרה. החלף ל-https:// או יחסי.
  • אי שמירת backup של תעודה מסחרית: אם אתה מחדש תעודה מסחרית, שמור גם את ה-private key. ביקש מהרשם פעם נוספת אינו אופציה.

בדיקה לאחר תיקון

פתח את האתר ב-Chrome - אמור להופיע מנעול ירוק/אפור (לא אדום). לחץ עליו - תראה את התעודה ותאריך התפוגה החדש. הרץ ssllabs.com - דירוג A+ אידאלי. RankPlus יחזור לירוק במחזור הסריקה הבא (24 שעות).

טיפ: אם החידוש נכשל באופן עקבי על שרת אחסון מסוים, פעמים רבות הסיבה היא חסימה של בקשות יוצאות מ-Let's Encrypt API. בקש מספק האחסון לפתוח גישה ל-acme-v02.api.letsencrypt.org.
עוד בקטגוריה זו ← חזרה לכל המדריכים