Κατάργηση των ονομάτων Intranet και διευθύνσεων IP στα SSL
Η κοινότητα ασφαλείας του Internet καταργεί τη χρήση ονομάτων intranet και διευθύνσεων IP ως κύριων ονομάτων τομέων ή εναλλακτικών ονομάτων θέματος (SAN) στα πιστοποιητικά SSL. Αυτή είναι μια απόφαση ολόκληρου του κλάδου και όχι συγκεκριμένα της εταιρείας μας.
Από την πρώτη Ιουλίου 2012, δεν δεχόμαστε πλέον νέα αιτήματα, επανεκδόσεις κλειδιών ή ανανεώσεις για πιστοποιητικά SSL που περιέχουν ονόματα intranet ή διευθύνσεις IP και θα έχουν ισχύ μετά την 1η Νοεμβρίου 2015. Επιπλέον, δεν υποστηρίζουμε πιστοποιητικά SSL που διασφαλίζουν δημόσιες διευθύνσεις IP ή διευθύνσεις IPv6.
Ένα όνομα intranet είναι το όνομα ενός ιδιωτικού δικτύου, όπως server1, mail ή server2.local, στο οποίο δεν έχουν πρόσβαση οι δημόσιοι Domain Name Servers (DNS). Μια διεύθυνση IP είναι μια συμβολοσειρά αριθμών, όπως 123.45.67.890, που καθορίζει τη θέση ενός υπολογιστή.
Γιατί αυτή η αλλαγή;
Για να δημιουργηθεί ένα ασφαλέστερο online περιβάλλον, τα μέλη του Certificate Authorities Browser Forum συσκέφθηκαν για να καθορίσουν οδηγίες υλοποίησης για τα πιστοποιητικά SSL. Ως αποτέλεσμα, από την 1η Οκτωβρίου 2016, οι αρχές έκδοσης πιστοποιητικών (CA) πρέπει να ανακαλέσουν όσα πιστοποιητικά SSL χρησιμοποιούν ονόματα intranet ή διευθύνσεις IP.
Εν ολίγοις, αυτή η αλλαγή αυξάνει την ασφάλεια. Τα εσωτερικά ονόματα server δεν είναι μοναδικά, για αυτό το λόγο και είναι ευάλωτα σε επιθέσεις man-in-the-middle (MITM). Σε μια επίθεση MITM, ο επιτιθέμενος χρησιμοποιεί ένα αντίγραφο του πραγματικού πιστοποιητικού ή ένα διπλότυπο πιστοποιητικό για να υποκλέψει και να αναμεταδώσει μηνύματα. Οι CA εκδίδουν περισσότερα του ενός πιστοποιητικά για το ίδιο εσωτερικό όνομα, για αυτό και ένας επιτιθέμενος μπορεί να κάνει ένα έγκυρο αίτημα για ένα διπλότυπο πιστοποιητικό και να το χρησιμοποιήσει για την επίθεση MITM.
Για να διαβάσετε τις οδηγίες του CA/Browser Forum, κάντε κλικ εδώ.
Τι δράση πρέπει να αναλάβω;
Αν έχετε ένα υπάρχον πιστοποιητικό που περιέχει ένα όνομα intranet ή μια διεύθυνση IP, μπορείτε να συνεχίσετε να χρησιμοποιείτε αυτό το πιστοποιητκό μέχρι να λήξει, το αργότερο μέχρι την 1η Οκτωβρίου 2016. Εν τω μεταξύ, θα μπορείτε να ανανεώνετε αυτά τα πιστοποιητικά μόνο για χρονικό διάστημα ενός έτους.
Από εδώ και στο εξής, θα πρέπει να αναζητήσετε εναλλακτικές λύσεις για τη διασφάλιση των ονομάτων σας intranet. Με άλλα λόγια, αντί να διασφαλίζετε διευθύνσεις IP και ονόματα intranet, θα πρέπει να αναδιαμορφώσετε τους server σας ώστε να κάνουν χρήση πλήρως προσδιορισμένων ονομάτων τομέων, όπως το www.coolexample.com.
Για παράδειγμα, μπορείτε να δημιουργήσετε το δικό σας αίτημα υπογραφής πιστοποιητικού (CSR) και να το χρησιμοποιήσετε για την υπογραφή του πιστοποιητικού σας SSL. Ή, αν χρησιμοποιείτε τον Microsoft® Exchange Server, μπορείτε να αναδιαμορφώσετε το εσωτερικό του AutoDiscover ώστε να χρησιμοποιεί ένα FQDN. Για οδηγίες, δείτε Reconfiguring Microsoft Exchange Server to Use a Fully Qualified Domain Name.