Pemberhentian Intranet Nama Dan Alamat IP Dalam SSLs
Masyarakat keselamatan Internet berperingkat penggunaan nama intranet dan alamat IP nama domain sebagai rendah atau Nama Subjek Alternatif (SAN) dalam sijil SSL. Ini adalah keputusan seluruh industri , tidak satu khusus untuk syarikat kami.
Pada 1 Julai, 2012, kita tidak lagi menerima permohonan baru, rekeys atau pembaharuan untuk sijil SSL yang mengandungi nama-nama intranet atau alamat IP dan adalah sah di luar 1 November 2015. Di samping itu, kami tidak menyokong sijil SSL yang selamat alamat IP awam atau alamat IPv6.
Nama intranet adalah nama sebuah rangkaian persendirian, seperti server1, mail atau server2.local, bahawa Domain Name Servers (DNS) tidak boleh akses. Alamat IP adalah rentetan nombor, seperti 123.45.67.890, yang menentukan lokasi komputer.
Mengapa berubah?
Untuk mewujudkan persekitaran dalam talian yang lebih selamat , ahli-ahli Pihak Berkuasa Sijil Pelayar Forum bertemu untuk menentukan garis panduan pelaksanaan untuk sijil SSL. Akibatnya , berkuatkuasa mulai 1 Oktober, 2016, Pihak Berkuasa Pemerakuan (CA) perlu membatalkan sijil SSL yang menggunakan nama intranet atau alamat IP.
Pendek kata, perubahan ini meningkatkan keselamatan. Kerana nama pelayan dalaman adalah tidak unik, mereka terdedah kepada (MITM) serangan lelaki tengah. Dalam serangan MITM, penyerang menggunakan salinan sijil sebenar atau sijil pendua untuk memintas dan menghantar semula mesej. Kerana CA mengeluarkan berbilang sijil untuk nama dalaman yang sama, penyerang boleh membuat permintaan sah untuk sijil pendua dan menggunakannya pada MITM.
Untuk membaca CA / Browser garis panduan Forum klik di sini.
Apakah tindakan yang perlu saya ambil?
Jika anda mempunyai sijil yang sedia ada yang mengandungi nama intranet atau alamat IP, anda boleh terus menggunakan perakuan itu sehingga ia luput atau sehingga 1 Oktober 2016, yang mana terdahulu. Pada masa ini, anda hanya boleh memperbaharui sijil-sijil ini untuk tempoh satu tahun.
Melangkah ke hadapan , anda mesti mencari penyelesaian alternatif untuk mendapatkan nama-nama intranet anda. Dalam erti kata lain , bukannya mendapatkan alamat IP dan nama intranet , anda perlu menyusun semula pelayan untuk digunakan Berkelayakan Penuh Nama Domain (FQDNs), seperti www.coolexample.com.
Sebagai contoh , anda boleh membuat Permintaan Menandatangani Sijil anda sendiri (CSR) dan menggunakannya untuk menandatangani sijil SSL anda. Atau , jika anda menggunakan Microsoft® Exchange Server , anda boleh menyusun semula Auto temu dalamannya menggunakan FQDN. Untuk arahan, lihat Reconfiguring Microsoft Exchange Server to Use a Fully Qualified Domain Name.
