Obsolescenza Dei Nomi Delle Reti Intranet E Degli Indirizzi IP Nei Certificati SSL
La comunità dedicata al mantenimento della sicurezza in Internet sta progressivamente eliminando l'uso dei nomi delle reti intranet e degli indirizzi IP come nomi di dominio principali o nomi alternativi del soggetto (SAN) nei certificati SSL. Si tratta di una decisione che coinvolge l'intero settore e non soltanto la nostra società.
Dal 1 luglio 2012, non accettiamo più nuove richieste, richieste di immissione di nuove chiavi o rinnovi per i certificati SSL che contengono nomi di reti intranet o indirizzi IP e che scadono dopo il 1 novembre 2015. Inoltre, non supportiamo i certificati SSL che proteggono gli indirizzi IP o IPv6 pubblici.
Il nome di una intranet è il nome di una rete privata, ad esempio server1, mail o server2.local, a cui i server dei nomi di dominio (DNS) pubblici non possono accedere. Un indirizzo IP è una stringa di numeri, ad esempio 123.45.67.890, che definisce la posizione di un computer.
Motivo della modifica
Allo scopo di creare un ambiente online più sicuro, i membri del Certificate Authorities Browser Forum si sono incontrati per definire le linee guida di implementazione dei certificati SSL e hanno deliberato che, a partire dal 1 ottobre 2016, le autorità di certificazione dovranno revocare i certificati SSL contenenti nomi di reti intranet o indirizzi IP.
In poche parole, si tratta di un cambiamento rivolto a rafforzare la protezione. I nomi dei server interni non sono univoci, pertanto sono vulnerabili agli attacchi MITM (Man-in-the-middle). In un attacco MITM, l'hacker utilizza una copia del certificato reale o un duplicato dello stesso per intercettare e ritrasmettere i messaggi. Poiché le autorità di certificazione rilasciano più certificati per lo stesso nome di server interno, un hacker può effettuare una richiesta valida per un certificato duplicato e utilizzarlo per l'attacco MITM.
Per leggere le linee guida del CA/Browser Forum, fai clic qui.
Quali azioni devo intraprendere?
Se disponi di un certificato contenente il nome di una rete intranet o un indirizzo IP, puoi continuare a utilizzarlo fino alla sua scadenza o fino al 1 ottobre 2016, a seconda dell'evento che si verifica per primo. Al momento, puoi solo rinnovare questi certificati per la durata di un anno.
D'ora in poi, devi cercare soluzioni alternative per proteggere i nomi della tua intranet. In altre parole, anziché proteggere gli indirizzi IP e i nomi della rete intranet, devi riconfigurare i server affinché utilizzino nomi di dominio pienamente qualificati (FQDN), come www.esempio.com.
Ad esempio, puoi creare la tua richiesta di firma certificato (CSR) e utilizzarla per firmare il certificato SSL. Oppure, se utilizzi Microsoft® Exchange Server, puoi riconfigurarne la funzione di individuazione automatica interna affinché utilizzi un FQDN. Per istruzioni, vedi Reconfiguring Microsoft Exchange Server to Use a Fully Qualified Domain Name.