Intranet-Nimien Ja IP-Osoitteiden Poistaminen Käytöstä SSL:Ssä
Intranet-nimiä ja IP-osoitteita ollaan poistamassa käytöstä ensisijaisina verkkotunnuksina tai aiheen vaihtoehtoisina niminä (SAN-tunnukset) SSL-varmenteissa. Tämä päätös koskee koko alaa, ei pelkästään omaa yhtiötämme.
1.7.2012 alkaen emme enää hyväksy uusia pyyntöjä tai uusintoja SSL-varmenteille, joissa on intranet-nimiä tai IP-osoitteita ja jotka ovat voimassa 1.11.2015 jälkeen. Emme myöskään tue SSL-varmenteita, jotka suojaavat julkisia IP-osoitteita tai IPv6-osoitteita.
Intranet-nimi on yksityisen verkon nimi, esimerkiksi palvelin1, posti tai server2.local, joita julkiset verkkotunnuspalvelut (DNS) eivät voi käyttää. IP-osoite on numerosarja, esimerkiksi 123.45.67.890, joka määrittää tietokoneen sijainnin.
Miksi muutos tehdään?
Turvallisemman verkkoympäristön luomiseksi Certificate Authorities Browser Forum -yhteenliittymä määritti SSL-varmenteiden käyttöönotto-ohjeet. Tämän johdosta 1.10.2016 alkaen varmenteen myöntäjien (CA) on peruttava SSL-varmenteet, joissa käytetään intranet-nimiä tai IP-osoitteita.
Lyhyesti sanottuna tämä parantaa turvallisuutta. Koska sisäiset palvelinnimet eivät ole yksilöllisiä, ne ovat haavoittuvia ns. välistävetohyökkäyksille (”man-in-the-middle”; MITM). MITM-hyökkäyksessä hyökkääjä käyttää todellisen varmenteen kopiota tai kaksoiskappaletta siepatakseen ja lähettääkseen viestejä uudelleen. Koska varmenteiden myöntäjät myöntävät samalle sisäiselle nimelle useita varmenteita, hyökkääjä voi tehdä kelvollisen pyynnön varmenteen kaksoiskappaleelle ja käyttää sitä MITM-hyökkäyksessä.
Lue CA/Browser Forumin ohjeet tästä.
Mitä minun täytyy tehdä?
Jos sinulla on olemassa oleva varmenne, joka sisältää intranet-nimen tai IP-osoitteen, voit jatkaa varmenteen käyttämistä joko sen vanhenemiseen saakka tai päivämäärään 1.10.2016 saakka (riippuen siitä, kumpi tapahtuu ensin). Voit uusia kyseiset varmenteet vain yhden vuoden jaksoksi.
Tästä eteenpäin sinun on etsittävä vaihtoehtoinen ratkaisu intranet-nimiesi suojaamiseksi. Sinun pitäisi siis IP-osoitteiden ja intranet-nimien suojaamisen sijaan määrittää palvelimet uudelleen käyttämään täydellisiä verkkotunnuksia (FQDN), kuten www.kivaesimerkki.com.
Voit esimerkiksi luoda oman varmenteen allekirjoituspyynnön (CSR) ja käyttää sitä SSL-varmenteesi allekirjoittamiseen. Tai mikäli käytät Microsoft® Exchange Serveriä, voit määrittää sen sisäisen AutoDiscover-toiminnon uudelleen käyttämään täydellistä verkkotunnusta. Lue ohjeet kohdasta Reconfiguring Microsoft Exchange Server to Use a Fully Qualified Domain Name.