SSL-Zertifikate mit internen Domainnamen und reservierten IP-Verfallsrichtlinien

Sie befinden sich hier:

Im Juli 2012 entschied das CA / Browser Forum, das Branchenstandard-Gremium für Zertifizierungsstellen und die Browser, die Zertifikate verwenden, mit Wirkung zum 1. November 2015, die Verwendung reservierter IP-Adressen und interner Namen für Zertifikate nicht mehr zuzulassen ausstehend muss bis zum 31. Oktober 2016 widerrufen werden.

Secorio WIRD KEIN Zertifikat mit einem Ablaufdatum nach dem 1. November 2015 ausstellen, dessen Feld subjectAlternativeName (SAN) oder subject commonName (CN) eine reservierte IP-Adresse oder einen internen Servernamen enthält.

 

Interne Namen

Ein interner Name ist eine Domäne in einem privaten Netzwerk, die mit dem öffentlichen Domain Name System (DNS) nicht aufgelöst werden kann. Es hat kein Domänensuffix oder das Suffix ist kein öffentlicher Domainname. Zum Beispiel clifton.nj.local oder Manchester.uk.internal

Ein böswilliger Akteur mit diesen Zertifikaten könnte weiterhin Man-in-the-Middle-Angriffe auf geschlossene Netzwerke wie öffentliches oder Unternehmens-WLAN ausführen. Einige dieser zuvor internen Namen werden mit Einführung der neuen gTLDs möglicherweise sogar im öffentlichen DNS registriert. Ein Beispiel wäre die neue gTLD ‚.exchange‘.

Vertrauenswürdige Zertifikate, die von Zertifizierungsstellen wie Sectigo ausgestellt wurden, werden im Allgemeinen für „echte“ Public Domain-Namen wie „sectigo.com“ ausgestellt. Die Zertifizierungsstelle kann vor dem Signieren und Ausstellen des Zertifikats überprüfen, ob eine einzelne Organisation die eindeutige Kontrolle über oder den Besitz eines solchen „echten“ Domänennamens besitzt.

Daher konnte jeder ein vertrauenswürdiges Zertifikat für die internen Namen erhalten.

 

Reservierte IP-Adressen

Eine reservierte IP-Adresse ist eine IPv4- oder IPv6-Adresse, die von der IANA als reserviert markiert wurde: Diese IP-Adressen können für die Verwaltung von Routingtabellen, Multicast, den Betrieb im Fehlermodus oder zur Bereitstellung von Adressraum für die öffentliche, uneingeschränkte Verwendung verwendet werden.

 

Sectigos Zeitplan für die Abschreibung

Der Zeitplan von Sectigo für das Auslaufen interner Namen und reservierter IP-Adressen lautet wie folgt:

  1. Derzeit stellt Sectigo nur dann ein Zertifikat mit einer Subject Alternative Name (SAN) -Erweiterung oder einem Subject Common Name-Feld aus, das eine reservierte IP-Adresse oder einen internen Servernamen enthält, wenn das Ablaufdatum vor dem 1. November 2015 liegt.
  2. Nach dem 31. Oktober 2015 stellt Sectigo keine Zertifikate mit einer Subject Alternative Name (SAN) -Erweiterung oder einem Subject Common Name-Feld aus, die eine reservierte IP-Adresse oder einen internen Servernamen enthalten.
  3. Ab dem 1. Oktober 2016 widerruft Sectigo alle nicht abgelaufenen Zertifikate mit einer Subject Alternative Name (SAN) -Erweiterung oder einem Subject Common Name-Feld mit einer reservierten IP-Adresse oder einem internen Servernamen.

Wenn Sie interne Namen verwenden, müssen Sie diese Server so konfigurieren, dass sie einen öffentlichen Namen verwenden oder zu einem Zertifikat wechseln, das vor dem 1. November 2015 von einer internen Zertifizierungsstelle ausgestellt wurde.

 

Was kann ich tun, wenn meine Organisation bereits ein vertrauenswürdiges internes Domänenzertifikat verwendet?

Es gibt verschiedene Möglichkeiten. Eine Möglichkeit besteht darin, alle Systeme so zu konfigurieren, dass sie einen öffentlich registrierten Domainnamen verwenden. Der vollqualifizierte Name im Zertifikat muss nicht im öffentlichen DNS aufgelöst werden oder über das öffentliche Internet zugänglich sein. Das Migrieren von „myserver.local“ zu „myserver.mydomain.com“ bedeutet beispielsweise nicht, dass der Server über das Internet erreichbar sein muss oder der DNS-Eintrag für „myserver.mydomain.com“ außerhalb Ihres Netzwerks aufgelöst werden muss. Eine zweite Möglichkeit wäre, ein selbstsigniertes Zertifikat für die Verwendung im Intranet zu verwenden.

 

Mehr Fragen?

Ein Blog-Beitrag mit weiteren Informationen und Anleitungen des CA Security Council ist hier verfügbar: https://casecurity.org/2014/07/18/what-to-do-when-you-rely-on-internal-names-in -tlsssl-zertifikate /

Sollen Sie Fragen haben in Bezug auf die Ausstellung von Zertifikaten mit internen Namen, der Status der vorhandenen Zertifikate oder wenn Sie mit einem der Punkte in diesem Dokument angesprochenen allgemeine Beratung wünschen, kontaktieren Sie uns bitte über unser Kontaktformular.