Прекращение действия имен интранета и IP-адресов в SSL

Сообщество безопасности Интернета прекращает действие имен интранета и IP-адресов в качестве основных доменных имен или альтернативных имен субъектов (SAN) в сертификатах SSL. Это решение распространяется на всю отрасль, а не только на нашу компанию.

После 1 июля 2012 г. мы больше не принимаем запросы на создание, повторное создание или продление сертификатов SSL, которые содержат имена интранета или IP-адреса и действительны после 1 ноября 2015 г. Кроме того, мы не поддерживаем сертификаты SSL, которые защищают общедоступные адреса IP или IPv6.

Имя интранета – это имя частной сети, такое как server1, mail или server2.local, к которой не имеют доступа серверы доменных имен (DNS). IP-адрес – это последовательность чисел, например 123.45.67.890, определяющая расположение компьютера.

Зачем нужно это изменение?

С целью создания более безопасных условий в Интернете участники Форума по центрам сертификации и браузерам решили установить правила для реализации сертификатов SSL. В результате начиная с 1 октября 2016 г. центры сертификации (ЦС) должны отзывать сертификаты SSL, в которых используются имена интранета или IP-адреса.

В целом, это изменение ведет к укреплению безопасности. Так как внутренние имена серверов не уникальны, они уязвимы для атак через посредника (активного вмешательства в соединение). При атаке через посредника хакер использует копию настоящего сертификата или дубликат сертификата для перехвата и ретрансляции сообщений. Так как центры сертификации выпускают по несколько сертификатов для одного и того же внутреннего имени, хакер может сделать законный запрос на дубликат сертификата и использовать его для атаки.

Чтобы ознакомиться с директивами форума по ЦС/браузерам, щелкните здесь.

Какие меры следует принять?

Если у вас есть сертификат, содержащий имя интранета или IP-адрес, вы можете продолжать пользоваться им до окончания срока действия или до 1 октября 2016 г., в зависимости от того, что наступит раньше. В это время возможно продление данных сертификатов на срок не больше одного года.

В перспективе вы должны искать альтернативные решения для защиты имен интранета. Иными словами, вместо защиты IP-адресов и имен интранета серверы следует перенастроить на использование полностью квалифицированных доменных имен, таких как www.coolexample.com.

Например, можно создать собственный запрос на подпись сертификата (CSR) и использовать его для подписи сертификата SSL. Или же, при использовании Microsoft® Exchange Server, можно перенастроить внутреннюю службу AutoDiscover этого сервера на использование полностью квалифицированных доменных имен. Инструкции можно найти здесь:

.


Помогла ли вам эта статья?
Благодарим вас за отзыв. Чтобы связаться с сотрудником службы поддержки клиентов, позвоните по номеру этой службы или воспользуйтесь опцией чата выше.
Мы рады вам помочь! У вас остались вопросы?
Приносим извинения. Расскажите нам, какие затруднения вы испытываете или почему рекомендованное решение не помогло устранить проблему.