Udfasning af intranetnavne og IP-adresser i SSL'er

Internettets sikkerhedsgruppe udfaser brugen af intranetnavne og IP-adresser som primære domænenavne eller alternative emnenavne (SAN'er) i SSL-certifikater. Dette er en beslutning i hele branchen, ikke én, som er specifik for vores firma.

Pr. 1. juli 2012 accepterer vi ikke længere nye anmodninger, nøglefornyelser eller fornyelser for SSL-certifikater, som indeholder intranetnavne eller IP-adresser, og som er gyldige efter d. 1. nov. 2015. Desuden understøtter vi ikke SSL-certifikater, som sikrer offentlige IP-adresser eller IPv6-adresser.

Et intranetnavn er navnet på et privat netværk, såsom server1, mail eller server2.local, som offentlige DNS (Domain Name Servers) ikke har adgang til. En IP-adresse er en række tal, såsom 123.45.67.890, som definerer en computers lokation.

Hvorfor bliver det ændret?

For at oprette et onlinemiljø, som er mere sikkert, mødtes Certificate Authorities Browser Forum for at definere implementeringsretningslinjer for SSL-certifikater. Som følge deraf skal Nøglecentre (CA) pr. 1.10.2016 tilbagekalde SSL-certifikater, som bruger intranetnavne eller IP-adresser.

Kort fortalt – dette øger sikkerheden. Fordi interne servernavne ikke er entydige, er de sårbare for MITM-angreb (man-in-the-middle). I et MITM-angreb bruger angriberen en kopi af det rigtige certifikat eller et dublet certifikat til at opfange og transmittere meddelelser igen. Fordi Nøglecentre udsteder flere certifikater til det samme interne navn, kan en angriber foretage en gyldig anmodning om et dublet certifikat og bruge det til MITM.

Klik her for at læse retningslinjerne for Nøglecenter/Browser Forum.

Hvad skal jeg foretage mig?

Hvis du har et eksisterende certifikat, som indeholder et intranetnavn eller en IP-adresse, kan du fortsætte med at bruge det certifikat til det udløber eller til d. 1.10.2016, hvad der kommer først. På nuværende tidspunkt kan du kun forny disse certifikater for en periode på et år.

Fremover skal du finde andre løsninger til at sikre dine intranetnavne. Med andre ord: I stedet for at sikre IP-adresser og intranetnavne skal du konfigurere servere til at bruge FQDN'er (Fully Qualified Domain Names), såsom www.coolexample.com.

Du kan f.eks. oprette din egen anmodning om signering af certifikat (CSR) og bruge den til at signere dit SSL-certifikat. Eller, hvis du bruger Microsoft® Exchange Server, kan du konfigurere dens interne AutoDiscover til at bruge en FQDN. For instruktioner, se

.


Hjalp denne artikel?
Tak for din feedback.
Det glæder os, at vi kunne hjælpe! Er der andet, vi kan gøre for dig?
Beklager. Er der andet, vi kan gøre for at hjælpe dig?