Intranetnamen Und IP-Adressen in SSLs Auslaufen Lassen
Die Internet-Sicherheitsgemeinde lässt die Verwendung von Intranet-Namen und IP-Adressen als primäre Domainnamen oder Subject Alternative Names (SANs) in SSL-Zertifikaten auslaufen. Hierbei handelt es sich um eine branchenweite Entscheidung, die nicht nur unser Unternehmen betrifft.
Seit dem 1. Juli 2012 nehmen wir keine Anfragen, Schlüsselneuzuweisungen oder Verlängerungen von SSL-Zertifikaten an, die Intranetnamen oder IP-Adressen enthalten und deren Gültigkeit über den 1. November 2015 hinausgeht. Außerdem unterstützen wir keine SSL-Zertifikate, die öffentliche IP-Adressen oder IPv6-Adressen schützen.
Ein Intranetname ist der Name eines privaten Netzwerks wie Server1, Mail oder Server2.lokal, auf das öffentliche Domainnamenserver (DNS) nicht zugreifen können. Ein IP-Adresse ist eine Zahlenfolge wie 123.45.67.890, die den Standort eines Computers definiert.
Weshalb die Veränderung?
Um eine sichere Online-Umgebung zu schaffen, haben Mitglieder des Certificate Authorities Browser Forum Implementierungsrichtlinien für SSL-Zertifikate festgelegt. Resultierend daraus müssen Zertifizierungsstellen ab dem 1. Oktober 2016 alle SSL-Zertifikate, die Intranetnamen oder IP-Adressen verwenden, aufkündigen.
Durch diese Veränderung wird die Sicherheit erhöht. Weil Namen von internen Servern nicht eindeutig sind, sind sie ein leichtes Ziel von Man-in-the-Middle-Angriffen (MITM). Bei einem MITM-Angriff verwendet der Angreifer eine Kopie des echten Zertifikats oder ein doppeltes Zertifikat, um Mitteilungen abzufangen und neu zu senden. Da Zertifizierungsstellen mehrere Zertifikate für den gleichen internen Namen ausstellen, kann ein Angreifer gültigerweise ein doppeltes Zertifikat anfordern und dieses für den MITM nutzen.
Die Richtlinien des CA/Browser Forum finden Sie hier.
Welche Maßnahmen muss ich ergreifen?
Wenn Sie ein bestehendes Zertifikat haben, das einen Intranetnamen oder eine IP-Adresse enthält, können Sie dieses Zertifikat bis zu seinem Ablaufdatum bzw. bis zum 1. Oktober 2016 (je nachdem, welches Datum zuerst eintritt) weiterverwenden. Danach können Sie dieses Zertifikat lediglich für einen Zeitraum von einem Jahr verlängern.
Langfristig müssen Sie sich nach anderen Lösungen umsehen, um Ihre Intranetnamen zu schützen. Das bedeutet, dass Sie nicht mehr Ihre IP-Adressen und Intranetnamen schützen sollten, sondern stattdessen Ihre Server für die Verwendung von voll qualifizierten Domainnamen (Fully Qualified Domain Names, FQDNs) wie www.coolesbeispiel.com einrichten sollten.
So können Sie beispielsweise Ihre eigene Zertifikatsignieranforderung (Certificate Signing Request, CSR) erstellen und damit Ihr SSL-Zertifikat signieren. Oder Sie können, wenn Sie Microsoft® Exchange Server verwenden, dessen interne AutoErmittlung für die Verwendung von voll qualifizierten Domainnamen konfigurieren. Anweisungen hierzu finden Sie unter Reconfiguring Microsoft Exchange Server to Use a Fully Qualified Domain Name.