Eliminar Gradualmente Nomes De Intranet E Endereços IP Nos SSL
A comunidade de segurança da Internet está a eliminar gradualmente a utilização de nomes de intranet e endereços IP como nomes de domínio principais ou SAN (nomes alternativos) nos certificados de SSL. É uma decisão a nível da indústria e não específica da empresa.
A partir de 1 de julho de 2012, não aceitamos novos pedidos, recodificações nem renovações de certificados de SSL que contenham nomes de Intranet ou endereços IP e são válidos após 1 de novembro de 2015. Além disso, não suportamos certificados de SSL que protejam endereços IP públicos ou endereços IPv6.
Um nome de intranet é o nome de uma rede privada, tal como server1, mail ou server2.local, que os servidores de nome de domínio (DNS) públicos não conseguem aceder. Um endereço IP é uma cadeia de números, tal como 123.45.67.890, que define a localização de um computador.
Porquê a alteração?
Para criar um ambiente online mais seguro, os membros do Certificate Authorities Browser Forum reuniram-se para definir diretrizes de implementação de certificados de SSL. Como resultado, a partir de 1 de outubro de 2016, as autoridades de certificação (CA) devem revogar os certificados de SSL que utilizem nomes de intranet ou endereços IP.
Em resumo, esta alteração aumenta a segurança. Uma vez que os nomes de servidor interno não são únicos, estão vulneráveis a ataques man-in-the-middle (MITM). Num ataque MITM, o atacante utiliza uma cópia do certificado verdadeiro ou um certificado duplicado para intercetar e voltar a transmitir mensagens. Como os CA emitem vários certificados para o mesmo nome interno, um atacante pode efetuar um pedido válido de certificado duplicado e utilizá-lo no MITM.
Para ler as diretrizes do CA/Browser Forum, clique aqui.
Que ação necessito de tomar?
Se tiver um certificado existente que contenha um nome de intranet ou um endereço IP, pode continuar a utilizar esse certificado até expirar ou até 1 de outubro de 2016, o que ocorrer primeiro. Neste momento, só é possível renovar estes certificados por um período de um ano.
Avançando, deve procurar soluções alternativas para proteger os seus nomes de intranet. Por outras palavras, em vez de proteger endereços IP e nomes de intranet, deve reconfigurar servidores de modo a utilizarem nomes de domínio totalmente qualificado (FQDN), tais como www.excelenteexemplo.com.
Por exemplo, pode criar o seu próprio pedido de assinatura de certificado (CSR) e utilizá-lo para assinar o seu certificado de SSL. Ou, se utilizar Microsoft® Exchange Server, pode reconfigurar a deteção automática interna para utilizar um FQDN. Para obter instruções, consulte Reconfiguring Microsoft Exchange Server to Use a Fully Qualified Domain Name.
