Abandon Des Nom Intranet Et Des Adresses IP Dans SSL
La communauté de sécurité Internet abandonne l'utilisation des noms Intranet et des adresses IP en tant que noms de domaine principaux ou Autres noms d'objet (SAN) dans les certificats SSL. Il s'agit d'une décision à l'échelle de l'industrie, pas spécifique à notre entreprise.
À partir du 1 juillet 2012, nous n'acceptons plus les nouvelles requêtes, renouvellements de clé ou renouvellements de certificats SSL qui contiennent des noms Intranet ou adresses IP et sont valides après le 1er novembre 2015. De plus, nous ne prenons pas en charge les certificats SSL qui sécurisent les adresses IP publiques ou les adresses IPv6.
Un nom Intranet est le nom d'un réseau privé, tel que server1, mail ou server2.local, auquel les serveurs de nom de domaine (DNS) publiques ne peuvent pas accéder. Une adresse IP est une chaîne de chiffres, telle que 123.45.67.890, qui définit l'emplacement d'un ordinateur.
Pourquoi ce changement ?
Afin de créer un environnement virtuel plus sécurisé, les membres du Certificate Authorities Browser Forum se sont retrouvés pour définir des instructions de mise en œuvre des certificats SSL. En conséquence de quoi, à partir du 1er octobre 2016, les autorités de certification (CA) doivent révoquer les certificats SSL qui utilisent les noms Intranet et adresses IP.
Pour résumer, ce changement améliore la sécurité. Les noms de serveur interne n'étant pas uniques, ils sont vulnérables aux attaques de l'intercepteur (MITM). Lors de ce genre d'attaques, la personne malveillante utilise une copie d'un certificat réel ou un certificat en double pur intercepter et retransmettre des messages. Parce que les CA génèrent plusieurs certificats pour le même nom interne, une personne malveillante peut effectuer une demande valide de double de certificat et l'utiliser pour le MITM.
Pour lire les instructions des CA/Browser Forum, cliquez ici.
Quelle action dois-je entreprendre ?
Si vous avez un certificat existant qui contient un nom Intranet ou une adresse IP, vous pouvez continuer à l"utiliser jusqu'à son expiration ou jusqu'au 1er octobre 2016, selon la date la plus précoce. À ce moment-là, vous pourrez uniquement renouveler ces certificats pour une période d'un an.
Par la suite, vous devrez chercher des solutions alternatives pour sécuriser vos noms Intranet. C'est-à-dire qu'au lieu de sécuriser les adresses IP et les noms Intranet, vous devrez reconfigurer les serveurs pour qu'ils utilisent des noms de domaines entièrement qualifiés (FQDN), tels que www.coolexample.com.
Par exemple, vous pouvez créer votre propre demande de signature de certificat (CSR) et l'utiliser pour signer votre certificat SSL. Ou, si vous utilisez le serveur Microsoft® Exchange, vous pouvez reconfigurer son service de découverte automatique pour utiliser un FQDN. Pour des instructions, consultez Reconfiguring Microsoft Exchange Server to Use a Fully Qualified Domain Name.
