SSL certificates with internal domain names and reserved IP expiry guidelines

In July 2012, the CA / Browser Forum, the industry standard body for certification bodies and the browsers that use certificates, decided with effect from November 1, 2015, to no longer allow the use of reserved IP addresses and internal names for certificates 31 October 2016.

Secorio WILL NOT issue a certificate with an expiry date after November 1, 2015, whose subjectAlternativeName (SAN) or subject commonName (CN) field contains a reserved IP address or an internal server name.

Internal names

An internal name is a domain in a private network that cannot be resolved with the public Domain Name System (DNS). It has no domain suffix or the suffix is not a public domain name. For example clifton.nj.local or Manchester.uk.internal

Ein böswilliger Akteur mit diesen Zertifikaten könnte weiterhin Man-in-the-Middle-Angriffe auf geschlossene Netzwerke wie öffentliches oder Unternehmens-WLAN ausführen. Einige dieser zuvor internen Namen werden mit Einführung der neuen gTLDs möglicherweise sogar im öffentlichen DNS registriert. Ein Beispiel wäre die neue gTLD ‹.exchange›.

Vertrauenswürdige Zertifikate, die von Zertifizierungsstellen wie Sectigo ausgestellt wurden, werden im Allgemeinen für «echte» Public Domain-Namen wie «sectigo.com» ausgestellt. Die Zertifizierungsstelle kann vor dem Signieren und Ausstellen des Zertifikats überprüfen, ob eine einzelne Organisation die eindeutige Kontrolle über oder den Besitz eines solchen «echten» Domänennamens besitzt.

Therefore, everyone could get a trustworthy certificate for the internal names.

Reserved IP addresses

A reserved IP address is an IPv4 or IPv6 address that has been marked as reserved by IANA: These IP addresses can be used to manage routing tables, multicast, to operate in error mode or to provide address space for the public, unrestricted Use.

Sectigo's schedule for depreciation

Sectigo's schedule for expiring internal names and reserved IP addresses is as follows:

1. Sectigo currently only issues a Certificate with a Subject Alternative Name (SAN) extension or Subject Common Name field that contains a reserved IP address or an internal server name if the expiration date is before November 1, 2015.
2. After October 31, 2015, Sectigo will not issue certificates with a Subject Alternative Name (SAN) extension or Subject Common Name field that contain a reserved IP address or an internal server name.
3. Ab dem 1. Oktober 2016 widerruft Sectigo alle nicht abgelaufenen Zertifikate mit einer Subject Alternative Name (SAN) -Erweiterung oder einem Subject Common Name-Feld mit einer reservierten IP-Adresse oder einem internen Servernamen.

If you use internal names, you must configure these servers to use a public name or switch to a certificate that was issued by an internal certification authority before November 1, 2015.

What can I do if my organization already uses a trusted internal domain certificate?

Es gibt verschiedene Möglichkeiten. Eine Möglichkeit besteht darin, alle Systeme so zu konfigurieren, dass sie einen öffentlich registrierten Domainnamen verwenden. Der vollqualifizierte Name im Zertifikat muss nicht im öffentlichen DNS aufgelöst werden oder über das öffentliche Internet zugänglich sein. Das Migrieren von «myserver.local» zu «myserver.mydomain.com» bedeutet beispielsweise nicht, dass der Server über das Internet erreichbar sein muss oder der DNS-Eintrag für «myserver.mydomain.com» außerhalb Ihres Netzwerks aufgelöst werden muss. Eine zweite Möglichkeit wäre, ein selbstsigniertes Zertifikat für die Verwendung im Intranet zu verwenden.

More questions?

A blog post with more information and guidance from the CA Security Council is available here: https://casecurity.org/2014/07/18/what-to-do-when-you-rely-on -internal-names-in -tlsssl-certificates /

If you have any questions regarding the issuing of certificates with internal names, the status of the existing certificates or if you would like general advice on any of the points in this document, please contact us via our contact form .