Прекращение действия имен интранета и IP-адресов в SSL
Сообщество безопасности Интернета прекращает действие имен интранета и IP-адресов в качестве основных доменных имен или альтернативных имен субъектов (SAN) в сертификатах SSL. Это решение распространяется на всю отрасль, а не только на нашу компанию.
После 1 июля 2012 г. мы больше не принимаем запросы на создание, повторное создание или продление сертификатов SSL, которые содержат имена интранета или IP-адреса и действительны после 1 ноября 2015 г. Кроме того, мы не поддерживаем сертификаты SSL, которые защищают общедоступные адреса IP или IPv6.
Имя интранета - это имя частной сети, такое как server1, mail или server2.local, к которой не имеют доступа серверы доменных имен (DNS). IP-адрес - это последовательность чисел, например 123.45.67.890, определяющая расположение компьютера.
Зачем нужно это изменение?
С целью создания более безопасных условий в Интернете участники Форума по центрам сертификации и браузерам решили установить правила для реализации сертификатов SSL. В результате начиная с 1 октября 2016 г. центры сертификации (ЦС) должны отзывать сертификаты SSL, в которых используются имена интранета или IP-адреса.
В целом, это изменение ведет к укреплению безопасности. Так как внутренние имена серверов не уникальны, они уязвимы для атак через посредника (активного вмешательства в соединение). При атаке через посредника хакер использует копию настоящего сертификата или дубликат сертификата для перехвата и ретрансляции сообщений. Так как центры сертификации выпускают по несколько сертификатов для одного и того же внутреннего имени, хакер может сделать законный запрос на дубликат сертификата и использовать его для атаки.
Чтобы ознакомиться с директивами форума по ЦС/браузерам, щелкните здесь.
Какие меры следует принять?
Если у вас есть сертификат, содержащий имя интранета или IP-адрес, вы можете продолжать пользоваться им до окончания срока действия или до 1 октября 2016 г., в зависимости от того, что наступит раньше. В это время возможно продление данных сертификатов на срок не больше одного года.
В перспективе вы должны искать альтернативные решения для защиты имен интранета. Иными словами, вместо защиты IP-адресов и имен интранета серверы следует перенастроить на использование полностью квалифицированных доменных имен, таких как www.coolexample.com.
Например, можно создать собственный запрос на подпись сертификата (CSR) и использовать его для подписи сертификата SSL. Или же, при использовании Microsoft® Exchange Server, можно перенастроить внутреннюю службу AutoDiscover этого сервера на использование полностью квалифицированных доменных имен. Инструкции можно найти здесь: Reconfiguring Microsoft Exchange Server to Use a Fully Qualified Domain Name.
