SSL'lerde İntranet Adları Ve IP Adreslerine Aşamalı Olarak Son Vermek
İnternet güvenliği topluluğu, intranet adlarının ve IP adreslerinin SSL Sertifikalarında birincil alan adları ya da Konu Alternatif Adları (SAN'lar) olarak kullanımına aşamalı olarak son vermektedir. Bu, sektör genelinde alınan bir karardır, şirketimize özel değildir.
1 Temmuz 2012'den itibaren, intranet adları ya da IP adresleri içeren ve 1 Kadım 2015'ten sonra geçerli olan yeni talepleri, yeni anahtar oluşumlarını ya da yenilemeleri kabul etmeyeceğiz. Ayrıca, açık IP adreslerinin veya IPv6 adreslerinin güvenliğini sağlayan SSL sertifikalarını da desteklemiyoruz.
İntranet adı, açık Alan Adı Sunucularının (DNS) erişemediği, server1, mail ya da server2.local gibi bir özel ağa verilen addır. IP adresi, bir bilgisayarın konumunu belirleyen 123.45.67.890 gibi bir sayı dizisidir.
Bu değişiklik neden gerekli?
Sertifika Kuruluşları Tarama Forumu üyeleri, daha güvenli bir çevrimiçi ortam yaratmak için SSL sertifikalarına ilişkin uygulama talimatlarını belirlemek üzere bir araya geldi. Görüşmeler sonunda, 1 Ekim 2016'dan itibaren yürürlükte olmak üzere, Sertifika Kuruluşları (CA) intranet adları ya da IP adresleri kullanan SSL sertifikalarını iptal etmek zorunda kalacak.
Kısacası, bu değişiklik güvenliği artırıyor. Dahili sunucu adları benzersiz olmadığından, ortadaki adam (MITM) saldırılarına karşı savunmasızdır. Bir MITM saldırısında, saldırıyı yapanlar mesajları kesmek ve yeniden iletmek için gerçek bir sertifikanın kopyasını ya da çoğaltılmış bir sertifikayı kullanır. CA'lar aynı dahili ad için birden çok sertifika çıkardığı için, saldırıyı yapanlar çoğaltılmış bir sertifika için geçerli bir talepte bulunabilir ve bunu MITM saldırısı için kullanılabilir.
CA/Tarama Forumu talimatlarını okumak için burayı tıklayın.
Ne yapmam gerekiyor?
İntranet adı ya da IP adresi içeren bir sertifikanız varsa, sertifikanız sona erene ya da 1 Ekim 2016'ya kadar, hangisi daha önceyse, bu sertifikayı kullanmaya devam edebilirsiniz. Bu sırada, bu sertifikaları yalnızca bir yıl süreyle yenileyebilirsiniz.
Daha sonra ise intranet adlarınızı korumak için alternatif çözümler aramalısınız. Başka bir deyişle, IP adreslerinin ve intranet adlarının güvenliğini sağlamak yerine, sunucuları www.guzelornek.com gibi Tam Nitelikli Alan Adlarını (FQDN'ler) kullanacak şekilde yeniden yapılandırmanız gerekir.
Örneğin, Sertifika İmzalama Talebi (CSR) oluşturabilir ve bunu SSL sertifikanızı imzalamak için kullanabilirsiniz. Ya da Microsoft® Exchange Server'ı kullanırsanız, bir FQDN kullanmak için dahili AutoDiscover'ı yeniden yapılandırabilirsiniz. Talimatlar için bkz Reconfiguring Microsoft Exchange Server to Use a Fully Qualified Domain Name.