Loại Bỏ Tên Mạng Nội Bộ Và địa Chỉ IP Trong Các SSL
Cộng đồng bảo mật Internet đang dần loại bỏ việc sử dụng tên mạng nội bộ và các địa chỉ IP làm tên miền chính hoặc Tên thay thế đối tượng (SAN) trong các chứng nhận SSL. Đây là quyết định toàn ngành, không phải là trường hợp cụ thể của công ty chúng tôi.
Từ ngày 1 tháng Bảy, 2012, chúng tôi không còn chấp nhận các yêu cầu mới, lấy lại khóa hoặc gia hạn đối với các chứng nhận SSL chứa tên mạng nội bộ hoặc các địa chỉ IP và có giá trị quá ngày 1 tháng mười một, 2015. Ngoài ra, chúng tôi không hỗ trợ các chứng nhận SSL đảm bảo cho các địa chỉ IP công cộng hoặc địa chỉ IPv6.
Tên mạng nội bộ là tên của một mạng riêng, chẳng hạn như server1, mail hoặc server2.local, không thể truy cập các máy chủ tên miền công cộng (DNS). Địa chỉ IP là dãy số, chẳng hạn như 123.45.67.890, xác định vị trí của một máy tính.
Tại sao lại thay đổi?
Để tạo môi trường trực tuyến an toàn hơn, các thành viên của Certificate Authorities Browser Forum đã gặp nhau để xác định những hướng dẫn thực hiện đối với các chứng nhận SSL. Kết quả là, có hiệu lực vào ngày 01 tháng mười năm 2016, các Đơn vị chứng nhận (CA) phải thu hồi lại các chứng nhận SSL sử dụng tên mạng nội bộ hoặc các địa chỉ IP.
Nói tóm lại, thay đổi này làm tăng tính an toàn. Bởi vì tên máy chủ nội bộ không phải là duy nhất, nên chúng dễ bị tấn công theo hình thức máy trung gian (MITM) Trong cuộc tấn công MITM, kẻ tấn công sử dụng bản sao của chứng nhận thực hoặc tạo bản sao chứng nhận để đánh chặn và truyền lại thông điệp. Bởi vì các CA cấp nhiều chứng nhận cho cùng một tên nội bộ, nên kẻ tấn công có thể thực hiện một yêu cầu hợp lệ cho một chứng nhận trùng lặp và sử dụng nó cho MITM.
Để đọc các hướng dẫn về CA/Browser Forum, bấm vào đây.
Tôi cần làm gì?
Nếu bạn có một chứng nhận hiện có chứa tên mạng nội bộ hoặc địa chỉ IP, bạn có thể tiếp tục sử dụng chứng nhận đó cho đến khi nó hết hạn hoặc cho đến ngày 01 tháng Mười năm 2016, tùy điều kiện nào đến trước. Tại thời điểm này, bạn chỉ có thể gia hạn các chứng nhận này với kỳ hạn một năm.
Từ giờ về sau, bạn phải tìm các giải pháp thay thế để bảo đảm cho tên mạng nội bộ của bạn. Nói cách khác, thay vì bảo vệ địa chỉ IP và tên mạng nội bộ, bạn nên cấu hình lại máy chủ để sử dụng Tên miền hoàn toàn đủ điều kiện (FQDNs), như www.coolexample.com.
Ví dụ, bạn có thể tạo Yêu cầu xác thực chứng nhận (CSR) và sử dụng nó để ký chứng nhận SSL của bạn. Hoặc, nếu bạn sử dụng Microsoft® Exchange Server, bạn có thể cấu hình lại chức năng Tự động phát hiện nội bộ của nó để sử dụng FQDN. Để được hướng dẫn, xem Reconfiguring Microsoft Exchange Server to Use a Fully Qualified Domain Name.
