Fasegewijze Beëindiging Van Het Gebruik Van Intranetnamen en IP-Adressen in SSL's
De internetbeveiligingscommunity heeft besloten het gebruik van intranetnamen en IP-adressen als primaire domeinnamen of SAN's (Subject Alternative Names) in SSL-certificaten fasegewijs te beëindigen. Dit is een besluit dat de gehele bedrijfstak betreft en dat niet alleen voor ons bedrijf geldt.
Vanaf 1 juli 2012 accepteren we geen nieuwe aanvragen, nieuwe sleuteluitgiften of verlengingen meer voor SSL-certificaten die intranetnamen of IP-adressen bevatten en die langer geldig zijn dan tot 1 november 2015. Daarnaast wordt er niet langer support geboden voor SSL-certificaten die openbare IP-adressen of IPv6-adressen beveiligen.
Een intranetnaam is de naam van een privénetwerk, zoals server1, email of server2.lokaal, waartoe openbare DNS-servers (Domain Name Server) geen toegang hebben. Een IP-adres is een tekenreeks die bestaat uit cijfers, zoals 123.45.67.890, die de locatie van een computer aangeeft.
Waarom deze wijziging?
Leden van het Certificate Authorities Browser Forum hebben met het oog op het creëren van een veiligere online omgeving implementatierichtlijnen voor SSL-certificaten opgesteld. Als gevolg hiervan moeten certificeringsinstanties met ingang van 1 oktober 2016 SSL-certificaten intrekken die gebruikmaken van intranetnamen of IP-adressen.
In het kort komt het erop neer dat deze wijziging de beveiliging verbetert. Omdat interne servernamen niet uniek zijn, zijn deze kwetsbaar voor zogeheten MITM-aanvallen (Man-In-The-Middle). Bij een MITM-aanval (Man-In-The-Middle) gebruikt een aanvaller een kopie van het echte certificaat of een duplicaatcertificaat om berichten te onderscheppen en opnieuw te verzenden. Omdat certificeringsinstanties meerdere certificaten uitgeven voor dezelfde interne naam, kan een aanvaller een geldige aanvraag voor een duplicaatcertificaat doen en dit gebruiken voor de MITM-aanval (Man-In-The-Middle).
Klik hier als je de richtlijnen van het Certificate Authorities Browser Forum wilt lezen.
Welke maatregelen moet ik treffen?
Als je over een certificaat beschikt dat een intranetnaam of IP-adres bevat, kun je dit certificaat blijven gebruiken, tot het verloopt of tot 1 oktober 2016, afhankelijk van wat eerder is. Je kunt deze certificaten momenteel alleen voor een periode van één jaar verlengen.
In de toekomst zal je echter moeten uitkijken naar alternatieve oplossingen voor het beveiligen van de intranetnamen. Anders gezegd, in plaats van het beveiligen van IP-adressen en intranetnamen, moet je servers opnieuw configureren zodat deze FQDN-namen (Fully Qualified Domain Names) gebruiken, zoals www.coolexample.com.
Je kunt bijvoorbeeld je eigen certificaatondertekeningsaanvraag (CSR) maken en dit gebruiken om je SSL-certificaat te ondertekenen. Of, als je Microsoft® Exchange Server gebruikt, kun je de interne functie Automatisch opsporen gebruiken als FQDN-naam. Zie Reconfiguring Microsoft Exchange Server to Use a Fully Qualified Domain Name voor instructies.