رفع هشدار Security Alert / Certificate در Word هنگام باز کردن فایل از WebDAV روی IIS در filekit

رفع خطای Certificate در Word هنگام باز کردن فایل از WebDAV (IIS)

رفع هشدار Security Alert / Certificate در Word هنگام باز کردن فایل از WebDAV روی IIS

این راهنما مخصوص محیط‌های سازمانی (IIS + WebDAV + Word/Office 2010 تا 2024) و شبکه‌های دارای WAF/Proxy/SSL Inspection تهیه شده است.

Word WebDAV IIS SSL/TLS Certificate Proxy/WAF

متن خطا (نمونه رایج در Word)

Information you exchange with this site cannot be viewed or changed by others. However, there is a problem with the site’s security certificate.
• The security certificate has expired or is not yet valid.
• The name on the security certificate is invalid or does not match the name of the site.

معنی فنی پیام

Word می‌گوید ارتباط شما با سایت رمزگذاری شده است، اما هویت سایت (SSL Certificate) از نظر Word معتبر/قابل اعتماد نیست. بنابراین Office قبل از ادامه، هشدار می‌دهد تا از حملات MITM جلوگیری شود.

علت‌های وقوع خطا (Root Causes)

1) انقضای گواهی یا معتبر نبودن زمان (Expired / Not Yet Valid)

اگر تاریخ/ساعت کلاینت اشتباه باشد یا گواهی سرور منقضی شده باشد، Word گواهی را نامعتبر تشخیص می‌دهد.

گواهی روی IIS / Reverse Proxy منقضی شده است.
ساعت سرور یا کلاینت عقب/جلو است (NTP مشکل دارد).

2) عدم تطابق نام دامنه با گواهی (CN/SAN Mismatch)

رایج‌ترین علت در WebDAV: URL که Word باز می‌کند با نام داخل گواهی یکی نیست.

URL: https://webdav.company.local ولی گواهی برای portal.company.local صادر شده.
استفاده از IP به‌جای hostname (تقریباً همیشه mismatch می‌دهد).
Redirect به hostname دیگر در مسیر (IIS/Proxy).

3) زنجیره اعتماد ناقص (Incomplete Chain)

اگر Intermediate CA روی سرور درست ارائه نشود یا Root/Intermediate روی کلاینت نصب نباشد، Word هشدار می‌دهد.

Intermediate certificate روی IIS نصب/ارسال نشده است.
کلاینت عضو دامنه نیست و Root CA سازمان را ندارد.

4) SSL Inspection / Proxy Rewrite

در برخی شبکه‌ها Proxy/WAF ترافیک HTTPS را terminate و با گواهی دیگری re-encrypt می‌کند. Word ممکن است این گواهی میانی را نپذیرد یا Trust آن کامل نباشد.

گواهی صادرشده توسط تجهیز امنیتی روی کلاینت trust نشده است.
Word نسبت به مرورگر سخت‌گیرتر رفتار می‌کند (وابسته به تنظیمات/نسخه).

5) مشکل در بررسی ابطال (CRL/OCSP) یا محدودیت شبکه

اگر سیستم نتواند وضعیت ابطال گواهی را بررسی کند (به‌خصوص در شبکه‌های محدود)، خطاهای گواهی رخ می‌دهد.

دسترسی به آدرس‌های CRL/OCSP بلاک شده است.
Proxy احراز هویت می‌خواهد و بررسی revocation شکست می‌خورد.

6) خطای پیکربندی TLS/HTTPS روی IIS یا Load Balancer

اگر TLS versions/ciphers ناسازگار باشد یا سایت چند binding اشتباه داشته باشد، Office رفتار غیرعادی نشان می‌دهد.

تنظیمات TLS سخت‌گیرانه/قدیمی.
SNI درست تنظیم نشده (چند سایت روی یک IP).

چک‌لیست عیب‌یابی سریع (Step-by-step)

قدم 1: URL دقیق WebDAV که Word باز می‌کند را مشخص کنید
همان URL را یادداشت کنید (دامنه/ساب‌دامنه/پورت). اگر redirect دارید، مقصد نهایی را هم مشخص کنید.
قدم 2: تاریخ و ساعت کلاینت/سرور را بررسی کنید
اختلاف زمان حتی چند دقیقه می‌تواند حالت Not Yet Valid ایجاد کند.
قدم 3: گواهی SSL را از دید کلاینت بررسی کنید
با مرورگر روی همان URL بروید و اعتبار، تاریخ انقضا، و نام دامنه (CN/SAN) را کنترل کنید.
قدم 4: بررسی کنید آیا Proxy/WAF در حال SSL Inspection است یا خیر
اگر گواهی صادرکننده (Issuer) گواهی، سازمان/تجهیز امنیتی شماست، احتمال SSL Inspection بالاست.
قدم 5: Chain را کامل کنید (Root/Intermediate)
روی IIS/Reverse Proxy مطمئن شوید Intermediateها درست نصب و ارائه می‌شوند و روی کلاینت هم Root CA وجود دارد.
قدم 6: تست Word Safe Mode و بررسی Add-inها (برای حذف تداخل)
اگر مشکل فقط در Word رخ می‌دهد (نه مرورگر)، Safe Mode و Add-inها را چک کنید.

راهکارهای پیشنهادی (Solutions)

راهکار A: تمدید/تعویض گواهی منقضی شده

گواهی جدید صادر کنید (ترجیحاً با SAN برای همه hostnameهای مورد استفاده).
روی IIS Binding سایت را به گواهی جدید تغییر دهید.
اگر پشت Load Balancer/Reverse Proxy هستید، همان‌جا هم گواهی را آپدیت کنید.

راهکار B: رفع عدم تطابق نام (CN/SAN)

URL WebDAV را طوری استاندارد کنید که همیشه با همان hostname روی certificate یکی باشد.
از باز کردن فایل با IP پرهیز کنید.
اگر چند دامنه دارید، گواهی SAN یا (در صورت سیاست سازمان) wildcard تهیه کنید.
قوانین redirect در IIS/Proxy را بررسی کنید که hostname را تغییر ندهند.

راهکار C: تکمیل Certificate Chain (Intermediate)

Intermediate CA را روی سرور در Local Computer → Intermediate Certification Authorities نصب کنید.
اطمینان بگیرید سرور هنگام TLS handshake، chain را کامل ارائه می‌کند.

راهکار D: مدیریت SSL Inspection در شبکه‌های دارای WAF/Proxy

نکته مهم امنیتی

خاموش کردن SSL inspection راه‌حل عمومی نیست. راه‌حل درست معمولاً استثنا (Bypass) برای مسیرهای WebDAV/Office یا نصب صحیح Root CA تجهیز روی کلاینت‌هاست (طبق سیاست امنیتی سازمان).

برای آدرس WebDAV استثنا تعریف کنید (اگر سیاست اجازه می‌دهد).
Root CA مربوط به تجهیز SSL inspection را روی کلاینت‌ها به‌صورت سازمانی deploy کنید.
بررسی کنید تجهیز امنیتی، hostname را بازنویسی یا certificate نامرتبط صادر نکند.

راهکار E: تعمیر Office و حذف تداخل افزونه‌ها (در صورت نیاز)

Word را با Safe Mode اجرا کنید: winword /safe
Add-inها را موقتاً غیرفعال کنید.
در صورت تداوم، Online Repair برای Office انجام دهید.

نمونه چک‌های فنی قابل مستندسازی

# 1) تست سریع DNS و نام مقصد
nslookup webdav.company.local

# 2) بررسی تاریخ و ساعت (روی کلاینت)
w32tm /query /status

# 3) اجرای Word در Safe Mode
winword /safe

FAQ

چرا این پیام می‌گوید «اطلاعات قابل مشاهده توسط دیگران نیست» ولی باز هشدار می‌دهد؟

چون رمزنگاری برقرار شده، اما هویت سرور (certificate) قابل اعتماد نیست. یعنی اتصال ممکن است رمز شده باشد ولی به «سرور اشتباه» یا «سروری با گواهی جعلی/نامعتبر» وصل شده باشید.

اگر فقط روی بعضی کلاینت‌ها خطا می‌آید و روی بعضی نه، چه نتیجه‌ای می‌گیریم؟

معمولاً یکی از این‌هاست: تفاوت در Root/Intermediate certificateهای نصب‌شده، تفاوت سیاست‌های Proxy، تفاوت در نسخه Office/Windows یا اختلاف ساعت سیستم.

برای WebDAV روی IIS بهترین روش مدیریت گواهی چیست؟

بهترین حالت این است که WebDAV همیشه با یک hostname ثابت ارائه شود و certificate همان hostname را در SAN پوشش دهد، chain کامل باشد، و اگر Proxy/WAF دارید مسیر WebDAV بدون بازنویسی hostname و بدون certificate نامرتبط عبور کند.