Pentahapan out Nama Intranet Dan IP Addresses Di SSLs
Komunitas keamanan Internet phasing out penggunaan nama intranet dan alamat IP nama domain sebagai primer atau Jurusan Nama Alternatif (SAN) dalam sertifikat SSL. Ini merupakan keputusan industri-lebar, tidak satu khusus untuk perusahaan kami.
Pada 1 Juli 2012, kami tidak lagi menerima permintaan baru, rekeys atau perpanjangan sertifikat SSL yang berisi nama intranet atau alamat IP dan berlaku di luar 1 November 2015. Selain itu, kami tidak mendukung sertifikat SSL yang menahan alamat IP publik atau alamat IPv6.
Nama intranet adalah nama dari sebuah jaringan pribadi, seperti server1, mail dan server2.local, bahwa masyarakat Domain Name Server ( DNS ) tidak dapat mengakses. Sebuah alamat IP adalah serangkaian angka, seperti 123.45.67.890, yang mendefinisikan lokasi komputer.
Mengapa perubahan?
Untuk menciptakan lingkungan yang lebih aman secara online, anggota Otoritas Sertifikat Browser Forum bertemu untuk menentukan pedoman pelaksanaan sertifikat SSL. Akibatnya , efektif 1 Oktober 2016, Otoritas Sertifikasi (CA) harus mencabut sertifikat SSL yang menggunakan nama intranet atau alamat IP.
Singkatnya, perubahan ini meningkatkan keamanan. Karena nama server internal tidak unik, mereka rentan terhadap (MITM) serangan man-in- the-middle. Dalam serangan MITM , penyerang menggunakan salinan sertifikat nyata atau sertifikat duplikat untuk mencegat dan memancarkan kembali pesan. Karena CA mengeluarkan beberapa sertifikat untuk nama internal yang sama, penyerang dapat membuat permintaan berlaku untuk sertifikat duplikat dan menggunakannya untuk MITM,
Untuk membaca CA / Browser pedoman Forum, klik di sini.
Tindakan apa yang harus saya ambil?
Jika Anda memiliki sertifikat yang ada yang berisi nama intranet atau alamat IP, Anda dapat terus menggunakan sertifikat itu sampai habis masa berlakunya atau sampai 1 Oktober 2016, mana yang lebih dulu. Pada saat ini, Anda hanya dapat memperbaharui sertifikat ini untuk jangka waktu satu tahun.
Ke depan, Anda harus mencari solusi alternatif untuk mengamankan nama intranet Anda. Dengan kata lain, alih-alih mengamankan alamat IP dan nama intranet , anda harus mengkonfigurasi server untuk menggunakan Nama Fully Qualified Domain (FQDNs), seperti www.coolexample.com.
Sebagai contoh, Anda dapat membuat sendiri Permintaan Penandatanganan Sertifikat (CSR) dan menggunakannya untuk menandatangani sertifikat SSL Anda. Atau, jika Anda menggunakan Microsoft® Exchange Server, Anda dapat mengkonfigurasi ulang AutoDiscover internal untuk menggunakan FQDN. Untuk petunjuk, baca Reconfiguring Microsoft Exchange Server to Use a Fully Qualified Domain Name.
