Pag-Phase out Ng Mga Pangalan Ng Intranet at Mga IP Address Sa Mga SSL
Ang komunidad ng seguridad para sa internet ay nag-phase out ng paggamit ng mga pangalan ng intranet at mga IP address bilang mga pangunahing pangalan ng domain o mga Subject Alternative Names (SANs) sa mga SSL certificate. Ito ay isang desisyon sa buong industriya, hindi partikular sa aming kompanya.
Mula pa noong Hulyo 1, 2012, hindi na kami tumatanggap ng mga bagong hiling, mga pag-rekey o renewal ng mga SSL certificate na naglalaman ng mga pangalan ng intranet o mga IP address at balido makalampas ang Nob. 1, 2015. Dagdag pa dito, hindi namin sinusuportahan ang mga SSL certificate na nagtatakda sa mga pampublikong IP address o mga IPv6 na mga address.
Ang pangalan ng intranet ay ang pangalan ng isang pribadong network, tulad ng server1, mail o server2.local, na hindi maa-access ng mga Domain Name Servers (DNS). Ang IP address ay isang string ng mga numero, tulad ng 123.45.67.890, na tumutukoy sa lokasyon ng computer.
Bakit kailangan ang pagbabago?
Para lumikha ng isang mas ligtas na online na environment, ang mga miyembro ng Certificate Authorities Browser Forum ay nagkita-kita para matuloy ang mga patnubay sa pagpapatupad para sa mga SSL certificate. Bilang resulta, may bisa mula noong Oktubre 1, 2016, kailangang bawiin ng Awtoridad sa Certification (Certification Authority o CA) ang Mga SSL Certificate na gumagamit ng mga pangalan ng intranet o mga IP address.
Sa madaling salita, ang pagbabagong ito ay nagpapataas sa seguridad. Dahil ang mga pangalan ng internal server ay hindi bukod tangi, mas mahina ang mga ito sa man-in-the-middle (MITM) na pag-aatake. Sa isang paga-atake sa MITM, ang umaatake ay gumagamit ng kopya ng tunay na certificate o kadobleng certificate para maharang at muling i-transmit ang mga mensahe. Dahil ang mga CA ay nagpapalabas ng mga maramihang certificate para sa parehong internal na pangalan, ang isang umaatake ay maaring gumawa ng isang balidong hiling para sa kadobleng certificate at gamitin ito para sa MITM.
Para basahin ang mga patnubay sa CA/Browser Forum , i-click dito.
Ano ang kilos na kailangan kong gawin?
Kung mayroon kayong certificate na naglalaman ng pangalan ng intranet o IP address, maaari ninyong patuloy na gamitin ang certificate na iyon hangga't mag-expire ito o hanggang sa Oktubre 1, 2016, alinman ang mauna. Sa ngayon, maaari lang ninyong i-renew ang mga certificate na ito sa termino ng isang taon.
Habang lumalaon, kailangan ninyong maghanap ng mga alternatibong solusyon para matakda ang inyong mga intranet na pangalan. Sa madaling salita, sa halip ng pagtatakda ng mga IP address at mga pangalan ng intranet, kailangan niyong muling i-configure ang mga server para gumamit ng Fully Qualified Domain Names (FQDNs), tulad ng www.coolexample.com.
Halimbawa, maaari kayong lumikha ng inyong sariling Hiling sa Pag-sign ng Certificate (Certificate Signing Request o CSR) at gamitin ito para i-sign ang inyong SSL na certificate. O, kung kayo ay gumagamit ng Microsoft® Exchange Server, maaari ninyong muling i-configure ang internal AutoDiscover nito para magamit ang FQDN. Para sa mga instruksyon, basahin ang Reconfiguring Microsoft Exchange Server to Use a Fully Qualified Domain Name.