Frequently Asked Questions

Other Languages: Dansk Deutsch Ελληνικά English Español Suomi Filipino Français Indonesian Italiano Japanese Korean Malay Bokmål Nederlands Polski Português - Brasil Português - Portugal Русский Svenska Türkçe Українська Vietnamese Chinese Taiwan Chinese

การยกเลิกชื่ออินทราเน็ตและที่อยู่ IP ในเอกสารรับรอง SSL

Print this Article
Last Updated: February 18, 2015 11:23 AM

ชุมชนรักษาความปลอดภัยอินเทอร์เน็ตกำลังยกเลิกการใช้ชื่ออินทราเน็ตและที่อยู่ IP เป็นชื่อโดเมนหลักหรือชื่อสำรองของเรื่อง (SAN) ในเอกสารรับรอง SSL การเปลี่ยนแปลงนี้เป็นการตัดสินใจร่วมกันในอุตสาหกรรมอินเทอร์เน็ต ไม่ไช่เป็นการตัดสินใจของเราเพียงบริษัทเดียว

ตั้งแต่วันที่ 1 กรกฎาคม 2012 เป็นต้นไป เราไม่รับคำร้องขอใหม่ การสร้างกุญแจใหม่ หรือการต่ออายุเอกสารรับรอง SSL ใหม่ที่มีชื่ออินทราเน็ตหรือที่อยู่ IP และมีผลใช้ได้หลังจากวันที่ 1 พฤศจิกายน 2015 นอกจากนี้ เราไม่สนับสนุนการใช้เอกสารรับรอง SSL ที่เก็บรักษาที่อยู่ IP สาธารณะหรือที่อยู่ IPv6

ชื่ออินทราเน็ตคือชื่อเครือข่ายส่วนตัว เช่น server 1, mail หรือ server2.local ที่เซิร์ฟเวอร์ชื่อโดเมน (DNS) ไม่สามารถเข้าถึงได้ ที่อยู่ IP คือตัวเลขที่ต่อเรียงกัน เช่น 123.45.67.890 ซึ่งใช้ระบุตำแหน่งของคอมพิวเตอร์

ทำไมต้องเปลี่ยน

เพื่อสร้างสภาพแวดล้อมออนไลน์ที่ปลอดภัยยิ่งขึ้น สมาชิกของ Certificate Authorities Browser Forum ได้ประชุมหารือเพื่อหาแนวทางในการปฏิบัติเกี่ยวกับเอกสารรับรอง SSL ผลการหารือคือองค์กรที่ออกสิทธิ์การรับรอง (CA) จะต้องเพิกถอนเอกสารรับรอง SSL ที่ใช้ชื่ออินทราเน็ตหรือที่อยู่ IP โดยมีผลบังคับใช้ตั้งแต่วันที่ 1 ตุลาคม 2016

โดยสรุป การเปลี่ยนแปลงนี้จะช่วยเพิ่มความปลอดภัย เนื่องจากชื่อของเซิร์ฟเวอร์ภายในนั้นไม่มีเอกลักษณ์เฉพาะ จึงทำให้ง่ายต่อการถูกโจมตีแบบแทรกกลางการสื่อสาร (MITM) ในการโจมตีแบบ MITM ผู้โจมตีจะใช้สำเนาของเอกสารรับรองตัวจริงหรือสำเนาเอกสารรับรองในการแทรกแซงและส่งข้อความใหม่ เนื่องจาก CA ออกเอกสารรับรองหลายฉบับภายใต้ชื่อเซิร์ฟเวอร์ภายในเดียวกัน ทำให้ผู้โจมตีสามารถยื่นขอสำเนาเอกสารรับรองและใช้เอกสารนี้ในการโจมตีแบบ MITM ได้

หากต้องการอ่านแนวทางของ CA/Browser Forum กรุณาคลิกที่นี่

ฉันจะต้องทำอะไร

ถ้าคุณมีเอกสารรับรองที่มีชื่ออินทราเน็ตหรือที่อยู่ IP คุณสามารถใช้เอกสารนี้ต่อได้จนกระทั่งเอกสารหมดอายุหรือจนถึงวันที่ 1 ตุลาคม 2016 ทั้งนี้แล้วแต่ว่าจะถึงเวลาใดก่อน ขณะนี้ คุณสามารถต่ออายุเอกสารรับรองได้ 1 ปี เท่านั้น

คุณจะต้องหาวิธีอื่นในการป้องกันชื่ออินทราเน็ตของคุณต่อไป กล่าวอีกนัยหนึ่ง แทนที่จะป้องกันที่อยู่ IP และชื่ออินทราเน็ต คุณควรกำหนดค่าเซิร์ฟเวอร์ให้ใช้ชื่อโดเมนที่มีคุณสมบัติครบ (FQDN) ใหม่ เช่น www.coolexample.com

ตัวอย่างเช่น สร้างคำขอลงนามเอกสารรับรอง (CSR) ของตนเองสำหรับลงชื่อเอกสารรับรอง SSL หรือถ้าคุณใช้ Microsoft® Exchange Server คุณสามารถตั้งค่า AutoDiscover ภายในเพื่อใช้ FQDN ใหม่ได้ ดูคำแนะนำได้ที่ Reconfiguring Microsoft Exchange Server to Use a Fully Qualified Domain Name