خطای Word/Office: Security Alert — Revocation information for the security certificate for this site is not available

خطای Word/Office: Security Alert — Revocation information for the security certificate for this site is not available در filekit

رفع خطای Word/Office: Security Alert — Revocation information for the security certificate… is not available

خطای Word/Office: Security Alert — Revocation information for the security certificate for this site is not available

این پیام یعنی Office/Windows در زمان اتصال HTTPS (مثلاً WebDAV، SharePoint، یا هر سایت امن) نتوانسته وضعیت ابطال (Revocation) گواهی SSL/TLS را بررسی کند. بررسی ابطال معمولاً از طریق CRL یا OCSP انجام می‌شود. علت اصلی غالباً عدم دسترسی شبکه به سرورهای CRL/OCSP یا زنجیره گواهی ناقص است.

Microsoft Word / Office TLS / SSL CRL OCSP Proxy / Firewall WebDAV Certificate Chain Enterprise
متن پیام

Security Alert
Revocation information for the security certificate for this site is not available.
Do you want to proceed?

هشدار امنیتی مهم

این پیام به این معنی نیست که سایت حتماً ناامن است؛ اما یعنی Windows نتوانسته مطمئن شود گواهی ابطال نشده. در محیط سازمانی، بهترین راه‌حل اصلاح شبکه/گواهی است، نه عادت کردن به زدن Yes.

این خطا دقیقاً چرا رخ می‌دهد؟ (توضیح فنی ساده ولی دقیق)

هنگام برقراری TLS، ویندوز باید زنجیره گواهی را اعتبارسنجی کند: Server Cert → Intermediate CA → Root CA. علاوه بر بررسی تاریخ و امضا، سیستم برای هر گواهی معمولاً لینک‌های زیر را دنبال می‌کند:

  • CDP (CRL Distribution Points) برای دانلود لیست ابطال (CRL)
  • AIA / OCSP برای پرس‌وجوی آنلاین وضعیت ابطال

اگر این URLها از شبکه کاربر قابل دسترس نباشند (به‌خاطر Proxy/Firewall/DNS/SSL Inspection)، یا chain ناقص باشد، نتیجه می‌شود: Revocation information … is not available.

رایج‌ترین علت‌ها در محیط‌های سازمانی

1) Proxy/Firewall دسترسی به OCSP/CRL را می‌بندد

خیلی وقت‌ها فقط دامنه مقصد (مثلاً your-dav.company.com) باز است، ولی URLهای CA (برای CRL/OCSP) روی اینترنت/شبکه دیگر block هستند.

2) SSL Inspection / TLS Interception (گواهی جایگزین)

اگر یک WAF/Proxy ترافیک را decrypt/re-encrypt کند، ممکن است گواهی میانی یا تنظیمات revocation آن درست publish نشده باشد.

3) زنجیره گواهی روی سرور ناقص است (Intermediate ارسال نمی‌شود)

سرور باید full chain را ارائه دهد (به‌جز Root). اگر Intermediate missing باشد، Windows برای تکمیل chain به AIA رجوع می‌کند و اگر آن مسیر هم بسته باشد، خطا می‌گیرد.

4) مشکل DNS/Route برای آدرس‌های CA

OCSP/CRL معمولاً روی دامنه‌های CA قرار دارد. اگر DNS داخلی آن‌ها را resolve نکند یا route نداشته باشید، revocation check fail می‌شود.

5) تاریخ/ساعت سیستم اشتباه است

تاریخ غلط می‌تواند باعث شکست validation (از جمله OCSP/CRL) شود.

6) عدم همخوانی تنظیمات WinHTTP با Proxy

بعضی کامپوننت‌های Office از WinHTTP استفاده می‌کنند نه تنظیمات مرورگر. اگر WinHTTP proxy تنظیم نشده باشد، OCSP/CRL دانلود نمی‌شود.

اقدامات فوری برای کاربر (بدون دسترسی ادمین)

  1. اگر این هشدار ناگهانی و جدید است، فعلاً Proceed نکنید (تا بررسی شود)
    مخصوصاً اگر URL یا دامنه جدید/غیرمنتظره است. با IT چک کنید که MITM/Proxy غیرمجاز وجود ندارد.
  2. تاریخ و ساعت ویندوز را اصلاح کنید
    Settings > Time & language → تنظیم روی Sync/Automatic.
  3. اتصال شبکه را عوض کنید (برای تست)
    اگر از شبکه سازمانی هستید، یک‌بار با VPN/شبکه دیگر تست کنید. اگر مشکل فقط روی یک شبکه رخ دهد، ۹۰٪ علت از Proxy/Firewall/Route است.
  4. URL را در مرورگر باز کنید و جزئیات Certificate را ببینید
    اگر مرورگر هم revocation error نشان داد یا chain ناقص بود، مشکل عمومی‌تر از Office است. (این تست جایگزین لاگ‌های سرور نیست، ولی سریع است.)

راهکارهای عملی برای IT (به ترتیب اثرگذاری)

1) زنجیره گواهی را روی سرور کامل کنید (Full Chain)

  • مطمئن شوید سرور (IIS/Reverse Proxy/WAF) علاوه بر Server cert، Intermediate CAهای لازم را هم ارائه می‌دهد.
  • گواهی‌ها را از نظر AIA/CDP درست بودن لینک‌ها بررسی کنید.

2) دسترسی شبکه به CRL/OCSP را باز کنید

کلید حل مسئله در اکثر سازمان‌ها

باید کلاینت‌ها بتوانند به URLهای داخل CDP و AIA/OCSP گواهی دسترسی داشته باشند (HTTP/HTTPS، و در بعضی سناریوها LDAP). اگر اینترنت خروجی محدود است، لازم است allowlist روی دامنه/آدرس‌های CA اعمال شود.

3) Proxy را برای WinHTTP تنظیم/همسان کنید

Office/Windows برای برخی عملیات‌ها از WinHTTP استفاده می‌کند. برای مشاهده:

netsh winhttp show proxy

برای همسان‌سازی با تنظیمات IE/Edge (در بسیاری از سازمان‌ها مفید است):

netsh winhttp import proxy source=ie

4) اگر SSL Inspection دارید، CA آن را به Trusted Root توزیع کنید و Revocation را درست Publish کنید

  • گواهی Root/Intermediate مربوط به دستگاه Inspection باید در کلاینت‌ها Trusted باشد (GPO/MDM).
  • OCSP/CRL برای گواهی‌های صادرشده توسط آن CA باید قابل دسترس باشد.
  • برخی محصولات Inspection به‌صورت پیش‌فرض revocation را برای گواهی‌های صادرشده خودشان درست هندل نمی‌کنند.

5) بررسی Event Logs و CAPI2 برای خطای دقیق revocation

مسیر متداول لاگ برای عیب‌یابی

Event Viewer > Applications and Services Logs > Microsoft > Windows > CAPI2 > Operational را فعال کنید و خطا را تکرار کنید تا ببینید دقیقاً کدام URL (CRL/OCSP) fail شده است.

چه کارهایی معمولاً توصیه نمی‌شود؟

راه‌حل‌های بد ولی رایج
  • غیرفعال کردن کلی certificate revocation checking در کل سیستم (ریسک امنیتی جدی).
  • عادت کردن به زدن Yes بدون بررسی علت.
  • نصب دستی Rootهای نامعلوم روی کلاینت‌ها.
چه زمانی می‌توان موقتاً Proceed کرد؟

فقط وقتی دامنه/گواهی را می‌شناسید، کانال رسمی است، و می‌دانید مشکل صرفاً از محدودیت شبکه/Proxy است (مثلاً در یک شبکه مهمان). با این حال در محیط سازمانی بهتر است root cause رفع شود.

چرا این خطا بیشتر در WebDAV/Office دیده می‌شود؟

چون Word/Office هنگام باز کردن/ذخیره روی HTTPS، به WinINet/WinHTTP و اعتبارسنجی گواهی وابسته است، و هر نقص در chain یا دسترسی به CRL/OCSP فوراً خودش را به‌صورت Security Alert نشان می‌دهد.

SEO Title: رفع Security Alert: Revocation information for the security certificate… is not available در Word/Office

Meta Description: راهنمای عملی رفع هشدار عدم دسترسی به اطلاعات ابطال گواهی (CRL/OCSP) در Word/Office هنگام اتصال HTTPS/WebDAV: باز کردن دسترسی شبکه، تکمیل certificate chain، تنظیم WinHTTP proxy و بررسی CAPI2.

خطای Word/Office: Security Alert — Revocation information for the security certificate for this site is not available

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *