SSLでのイントラネット名とIPアドレスの段階的使用停止
インターネットセキュリティの世界においては、SSL証明書のプライマリドメイン名やサブジェクトの別名(SAN)としてイントラネット名やIPアドレスを使用することを段階的に廃止する傾向にあります。 これは当社にかぎらず業界全体での傾向です。
2012年7月1日以降、当社では、イントラネット名やIPアドレスを使用していて有効期限が2015年11月1日より後であるSSL証明書の新規要求、キー再発行、更新は受け付けていません。 また、パブリックIPアドレスやIPv6アドレスをセキュリティ保護するSSL証明書はサポートしていません。
イントラネット名は、パブリックドメインネームサーバー(DNS)がアクセスできないプライベートネットワークの名前(server1、mail、server2.localなど)です。 IPアドレスは数値を並べた文字列(123.45.67.890など)で、コンピュータの場所を表します。
なぜこのように変更されたのですか。
オンライン環境をより安全なものにするため、CAブラウザフォーラムのメンバーの協議によりSSL証明書の導入に関するガイドラインが定められました。 その結果、証明機関(CA)はイントラネット名またはIPアドレスを使用するSSL証明書を2016年10月1日以降廃止することになりました。
この変更により、セキュリティが向上することになります。 内部サーバー名は一意ではないため、MITM(man-in-the-middle)攻撃に対してぜい弱です。 MITM攻撃では、攻撃者は実際の証明書のコピーまたは複製を使用してメッセージの遮断と再送信を行います。 CAは同じ内部名に対して複数の証明書を発行するため、攻撃者は証明書の複製を正当に要求し、MITMに使用することができます。
ここをクリックすると、CAブラウザフォーラムのガイドラインを閲覧できます。
何をすればよいですか。
イントラネット名またはIPアドレスを使用する証明書がすでにある場合、有効期限と2016年10月1日のうち早い方の日付までその証明書を使用することができます。 現時点では、これらの証明書は1年単位でしか更新できません。
今後のため、イントラネット名をセキュリティ保護するための別の方法を採用する必要があります。 具体的には、IPアドレスとイントラネット名をセキュリティ保護するかわりに、サーバーがwww.coolexample.comなどの完全修飾ドメイン名(FQDN)を使用するよう設定しなおします。
たとえば、独自の証明書署名要求(CSR)を作成し、SSL証明書の署名に使用することができます。 また、Microsoft® Exchange Serverを使用している場合、内部自動検出でFQDNを使用するよう設定しなおすこともできます。 手順については、「Reconfiguring Microsoft Exchange Server to Use a Fully Qualified Domain Name」を参照してください。
