Utfasing Av Intranettnavn Og IP-Adresser I SSL-Er
Internettsikkerhets-samfunnet er i ferd med å fase ut bruk av Intranett-navn og IP-adresser som hoveddomenenavn eller Alternativt navn for emne (SAN-er) i SSL-sertifikater. Dette er en bransjeomfattende avgjørelse og ikke spesifikk for vårt selskap.
Fra og med 1. juli 2012 aksepterer vi ikke lenger nye forespørsler, oppretting av nye sertifikater eller fornyelser for SSL-sertifikater som inneholder intranettnavn eller IP-adresser, og som er gyldige utover 1. november 2015. I tillegg støtter vi ikke SSL-sertifikater som sikrer offentlige IP-adresser eller IPv6-adresser.
Et intranettnavn er navnet til et privat nettverk, slik som server1, e-post eller server2.local, som domenenavnservere (DNS) ikke kan få tilgang til. En IP-adresse er en tallrekke, slik som 123.45.67.890, som definerer en datamaskins plassering.
Hvorfor endringen?
For å skape et tryggere nettmiljø, møttes medlemmer av Certificate Authorities Browser Forum for å definere implementeringsveiledninger for SSL-sertifikater. Som et resultat må sertifiseringsinstanser (CA) fra og med 1. oktober 2016 trekek tilbake SSL-sertifikater som bruker intranettnavn eller IP-adresser.
Kort sagt forbedrer denne endringen sikkerheten. Fordi interne servernavn ikke er unike, er de sårbare for MITM-angrep. I et MITM-angrep bruker angriperen en kopi av det ekte sertifikatet eller en kopi av et sertifikat for å fange opp og sende meldinger på nytt. Fordi sertifiseringsinstanser utsteder flere sertifikater for det samme interne navnet, kan en angriper utføre en gyldig forespørsel om en kopi av et sertifikat og bruke det til MITM.
For å lese sertifiseringsinstans/-browser forum-veiledningene, klikker du her.
Hva må jeg gjøre?
Hvis du har et eksisterende sertifikat som inneholder et intranettnavn eller en IP-adresse, kan du fortsette å bruke det sertifikatet til det utløper eller til 1. oktober 2016, hvilken enn som kommer først. På dette tidspunktet kan du bare fornye disse sertifikatene for en periode på ett år.
Fremover må du søke alternative løsninger for å sikre intranettnavnene dine. Med andre ord, istedenfor å sikre IP-adresser og intranettnavn bør du rekonfigurere servere til å bruke Fullt kvalifisert domenenavn (FQDN-er), slik som www.coolexample.com.
For eksempel kan du opprette din egen sertifikatsigneringsforespørsel (CSR) og bruke den til å signere SSL-sertifikatet ditt. Eller hvis du bruker Microsoft® Exchange Server, kan du rekonfigurere dens interne Oppdag automatisk til å bruke et fullt kvalifisert domenenavn. For instruksjoner, se Reconfiguring Microsoft Exchange Server to Use a Fully Qualified Domain Name.