Wycofywanie Adresów IP I Nazw Intranetowych W Certyfikatach SSL
Ze względów bezpieczeństwa społeczność internetowa wycofuje się z wykorzystywania adresów IP i nazw intranetowych jako podstawowych nazw domen lub alternatywnych nazw SAN w certyfikatach SSL. Jest to decyzja całej branży, nie tylko naszej firmy.
Począwszy od 1 czerwca 2012 r., nie przyjmujemy już nowych żądań, nie generujemy nowych kluczy ani nie odnawiamy certyfikatów SSL, które zawierają adresy IP lub nazwy intranetowe, a ich ważność jest dłuższa niż do 1 listopada 2015 r. Nie obsługujemy także certyfikatów SSL, które zabezpieczają publiczne adresy IP lub adresy IPv6.
Nazwa intranetowa to nazwa sieci prywatnej, np. server1, mail czy server2.local, do której nie mają dostępu publiczne serwery DNS. Adres IP to ciąg liczb, np. 123.45.67.890, który definiuje lokalizację komputera.
Po co ta zmiana?
Aby zwiększyć bezpieczeństwo sieci, członkowie Certificate Authorities Browser Forum spotkali się, by określić wytyczne implementacji certyfikatów SSL. W efekcie z dniem 1 października 2016 r. urzędy certyfikacji (CA) muszą unieważnić certyfikaty SSL, które używają adresów IP lub nazw intranetowych.
W skrócie ta zmiana zwiększa bezpieczeństwo. Ponieważ nazwy serwerów wewnętrznych nie są unikatowe, są one narażone na ataki typu man-in-the-middle (MITM). Podczas ataku MITM atakujący wykorzystuje kopię rzeczywistego certyfikatu lub jego duplikat, by przechwycić dane i przesłać je dalej. Ponieważ CA wystawiają szereg certyfikatów dla tej samej nazwy wewnętrznej, atakujący może zażądać wystawienia duplikatu certyfikatu i użyć go do ataku.
Aby zapoznać się z wytycznymi CA/Browser Forum, kliknij tutaj.
Co muszę zrobić?
Jeśli masz już certyfikat, który zawiera nazwę intranetową lub adres IP, możesz dalej go używać do jego wygaśnięcia lub 1 października 2016 roku. Obecnie możesz go odnowić tylko na okres roku.
W przyszłości będziesz musieć poszukać innych rozwiązań, by zabezpieczyć nazwy intranetowe. Innymi słowy, zamiast zabezpieczania adresów IP i nazw internetowych, należy skonfigurować serwery tak, by używały w pełni kwalifikowanych nazw domen (FQDN), takich jak www.coolexample.com.
Możesz na przykład utworzyć własne żądanie podpisania certyfikatu (CSR) i użyć go do podpisania certyfikatu SSL. Możesz też użyć serwera Microsoft® Exchange i skonfigurować jego funkcję automatycznego wykrywania, by używała nazw FQDN. Instrukcje zawiera artykuł Reconfiguring Microsoft Exchange Server to Use a Fully Qualified Domain Name.