Припинення використання імен інтрамереж і IP-адрес в SSL-сертифікатах
Спільнота з питань безпеки в Інтернеті припиняє використання імен інтрамереж і IP-адрес як основних імен домену чи альтернативних імен суб'єктів (SAN) в SSL-сертифікатах. Це рішення стосується всієї галузі, а не лише нашої компанії.
Починаючи з 1 липня 2012 р ми більше не приймаємо нові запити, змінення ключів або поновлення для SSL-сертифікатів, які містять імена інтрамереж або IP-адреси та чинні після 1 листопада 2015 р. Окрім того, ми не підтримуємо SSL-сертифікати, які захищають загальнодоступні IP-адреси чи адреси IPv6.
Ім'я інтрамережі — це ім'я приватної мережі, наприклад server1, mail або server2.local, доступ до якої загальнодоступні сервери імен доменів (DNS) отримати не можуть. IP-адреса — це рядок чисел, наприклад 123.45.67.890, який визначає розташування комп'ютера.
Чому впроваджено цю зміну?
Щоб створити більш безпечне онлайн-середовище, учасники Форуму представників центрів сертифікації і браузерів домовилися про втілення рекомендацій щодо SSL-сертифікатів. Як результат, починаючи з 1 жовтня 2016 р., центри сертифікації (CA) мають відкликати SSL-сертифікати, які використовують імена інтрамереж або IP-адреси.
Одним словом, ця зміна підвищує рівень безпеки. Оскільки імена внутрішніх серверів не є унікальними, вони вразливі до атак посередника (MITM — man-in-the-middle). Під час атаки MITM зловмисник використовує копію справжнього сертифіката чи повторюваний сертифікат для перехоплення та передавання повідомлень. Оскільки центри сертифікації видають кілька сертифікатів для одного внутрішнього імені, зловмисник може надіслати дійсний запит на повторюваний сертифікат і використовувати його для атак MITM.
Ознайомитися з рекомендаціями Форуму представників центрів сертифікації і браузерів можна тут.
Які дії я маю виконати?
Якщо у вас є сертифікат, який містить ім'я інтрамережі чи IP-адресу, можете й надалі його використовувати, доки не закінчиться термін його дії чи до 1 жовтня 2016 р., залежно від того, яка з дат настане першою. Наразі ви можете поновити ці сертифікати лише на один рік.
Із часом ви маєте знайти альтернативні рішення для забезпечення безпеки імен своєї інтрамережі. Іншими словами, замість IP-адрес та імен інтрамережі ви маєте перенастроїти сервери на використання повних імен доменів (FQDN), наприклад www.coolexample.com.
Наприклад, можна створити власний запит на підписування сертифіката (CSR) і використовувати його для підписування SSL-сертифіката. Або ж, якщо ви використовуєте Microsoft® Exchange Server, можете перенастроїти його внутрішню функцію автовиявлення на використання FQDN. Інструкції див. в статті Reconfiguring Microsoft Exchange Server to Use a Fully Qualified Domain Name.
