Como Reservar Nomes De Intranet E Endereços IP Em SSLs
A comunidade de segurança da Internet reserva o uso de nomes da Intranet e endereços de IP como nomes de domínio principais ou Nomes alternativos de assunto (SANs) em Certificados SSL. Essa é uma decisão de todo o setor, não específica para a nossa empresa.
A partir de 1º de julho de 2012, não aceitamos mais novas solicitações, novas gerações de chave ou renovações para Certificados SSL que contenham nomes de Intranet ou endereços IP e seja válidos após 1º de novembro de 2015. Além disso, não oferecemos suporte a Certificados SSL que protegem endereços IP públicos ou endereços IPv6.
Um nome de Intranet é o nome de uma rede privada, como server1, mail ou server2.local, à qual Servidores de nome de domínio (DNSs) não têm acesso. Um endereço IP é uma sequência de números, como 123.45.67.890, que define a localização de um computador.
Por que a mudança?
Para criar um ambiente online mais seguro, os membros do Certificate Authorities Browser Forum se reuniram para definir as diretrizes de implementação de Certificados SSL. Como resultado, a partir de 1º de outubro de 2016, as Autoridades de Certificação (CAs) devem revogar os Certificados SSL que usam nomes de Intranet ou endereços IP.
Resumindo, essa alteração aumenta a segurança. Como os nomes de servidor interno não são únicos, eles são vulneráveis a ataques a intermediários (MITM). Em um ataque MITM, o invasor usa uma cópia do certificado real ou um certificado duplicado para interceptar e retransmitir mensagens. Como as CAs emitem vários certificados para o mesmo nome interno, um invasor pode fazer uma solicitação válida de um certificado duplicado e usá-lo para o MITM.
Para ler as diretrizes do CA/Browser Forum, clique aqui.
Qual medida devo tomar?
Se você tiver um certificado existente que contenha nomes de Intranet ou endereços IP, poderá continuar usando-o até o vencimento ou até 1º de outubro de 2016, o que ocorrer primeiro. Quando isso ocorrer, será possível renovar esses certificados somente pelo período de um ano.
Continuando, você deve procurar soluções alternativas para proteger seus nomes de Intranet. Ou seja, em vez de proteger os endereços IP e nomes de Intranet, você deverá reconfigurar os servidores para usar Nomes de domínio totalmente qualificados (FQDNs), como www.exemplolegal.com.br.
Por exemplo, você pode criar sua própria Solicitação para assinatura de certificado (CSR) e usá-la para assinar o Certificado SSL. Alternativamente, se você usar o Microsoft® Exchange Server, poderá reconfigurar a Descoberta Automática interna para usar um FQDN. Para obter instruções, consulte o Reconfiguring Microsoft Exchange Server to Use a Fully Qualified Domain Name.
