Utfasning Av Intranätnamn Och IP-Adresser I SSL-Certifikat
Användningen av intranätnamn och IP-adresser som primära domännamn eller alternativa namn för certifikatmottagare (SAN) i SSL-certifikat håller på att fasas ut. Detta är ett branschomfattande beslut och gäller inte bara vårt företag.
Från och med den 1 juli 2012 accepterar vi inte längre nya förfrågningar, nyckeluppdateringar eller förnyelser av SSL-certifikat som innehåller intranätnamn eller IP-adresser och som är giltiga efter den 1 november 2015. Vi har inte heller stöd för SSL-certifikat som skyddar offentliga IP-adresser eller IPv6-adresser.
Ett intranätnamn är namnet på ett privat nätverk, som server1, epost eller server2.lokal, som offentliga DNS-servrar inte kan komma åt. En IP-adress är en rad siffror, t.ex. 123.45.67.890, som definierar en dators plats.
Vad beror ändringen på?
Medlemmarna i Certificate Authorities Browser Forum beslöt sig för att definiera implementeringsriktlinjer för SSL-certifikat för att skapa en tryggare miljö på nätet. Som en följd av det måste alla certifikatutfärdare från och med den 1 oktober 2016 återkalla SSL-certifikat som använder intranätnamn eller IP-adresser.
Ändringen ökar alltså säkerheten på nätet. Eftersom interna servernamn inte är unika är de sårbara för s.k. mannen-i-mitten-attacker (man-in-the-middle/MITM). I en MITM-attack använder angriparen en kopia av det riktiga certifikatet eller ett duplicerat certifikat för att fånga upp och skicka om meddelanden. Eftersom certifikatutfärdare utfärdar flera certifikat för samma interna namn kan en angripare göra en giltig begäran om ett duplicerat certifikat och använda det för MITM-attacker.
Om du vill läsa CA/Browser Forum-riktlinjerna klickar du här.
Vad behöver jag göra?
Om du har ett befintligt certifikat som innehåller ett intranätnamn eller en IP-adress kan du fortsätta att använda det tills det upphör att gälla eller till den 1 oktober 2016, beroende på vilket som inträffar först. Just nu kan du bara förnya de här certifikaten för ett år i taget.
På längre sikt måste du hitta andra lösningar för att skydda dina intranätnamn. I stället för att skydda IP-adresser och intranätnamn bör du alltså konfigurera om servrarna att använda fullständigt kvalificerade domännamn (FQDN), som www.kulexempel.se.
Du kan till exempel skapa en egen begäran om certifikatsignering (CSR) och använda den för att signera ditt SSL-certifikat. Om du använder Microsoft® Exchange Server kan du också konfigurera om dess interna funktion för automatisk upptäckt (AutoDiscover) att använda ett fullständigt kvalificerat domännamn. Anvisningar finns i Reconfiguring Microsoft Exchange Server to Use a Fully Qualified Domain Name.