Utfasing av interne domenenavn og IP-Adresser

Kunnskapsbase

(51)SSL (28)Commfides e-ID (11)Commfides Kryptert e-post (61)Nedlastinger (6)Signeringsporten (1)Autentiserings Applett

Kunnskapsbase: SSL > Ofte stilte spørsmål om SSL

01 Jun 2015 13:42

Utfasing Av interne domenenavn og IP-Adresser

Utstedere av SSL er i ferd med å fase ut bruk av interne domenenavn som .local, Intranett-navn og IP-adresser. Dette gjelder både common name (CN) og Subject Alternative Name (SAN). Dette er en bransjeomfattende avgjørelse og ikke spesifikk for Commfides.

Fra og med 1. nov 2014 aksepterer vi ikke lenger nye bestillinger eller fornyelser for SSL-sertifikater som inneholder ovenfor nevnte felter med gyldighet lengre enn 1. november 2015. I tillegg støttes ikke SSL-sertifikater som for offentlige IP-adresser eller IPv6-adresser.

Et intranettsertifikat til et privat nettverk, slik som server1, e-post eller server2.local, som offentlige DNS servere ikke kan gjøre oppslag mot. En IP-adresse er en tallbasert nettadresse som f.eks 123.45.67.890, og som benyttes til å kommunisere med en server eller tjeneste på nett.

Bakgrunnen til endringer.

For å skape et tryggere internett og øke integriteten til SSL valgte Certificate Authorities Browser Forum å oppdater sine veiledninger for implementering av SSL. Resultatet av dette er at sertifiseringsautoriteter (CA) fra og med 1. oktober 2016 må trekke tilbake SSL-sertifikater som bruker intranettnavn eller IP-adresser.

Bakgrunnen til dette er at interne servernavn ikke er unike, er de sårbare for ManInTheMiddleAttacks (MITM) -angrep. I et MITM-angrep benytter en angriperen en tjeneste som tiltrekker seg brukere og deretter benytter et sertifikat med samme interne navn på tjenesten som originalen for deretter å åpne meldingen før den sendes videre. Siden interne navn ikke er unike, finnes det risiko for at sertifikatutstedere utsteder samme navn til flere motparter da de ikke kan kontrollere det interne navnet.

Les CA-browser forum sin veiledning her.

Hva må jeg gjøre?

Alle sertifikater som er utstedt kan benyttes til de løper ut eller til senest 1. oktober 2016. Fra 1 nov. 2014 har vi sluttet å utstede nye eller fornye sertifikater som inneholder navn som beskrevet.

Fra nå av anbefaler vi at eksisterende og nye løsninger etableres med et Fullt kvalifisert domenenavn (FQDN), slik som www.dittdomene.no

Klikk her for hjelp med Rekonfigurering av Microsoft Exchange til å benytte FQDN

© 2021 Commfides Norge AS
Postboks 405, 1327 Lysaker
Fornebuveien 1, 1366 Lysaker
Telefon +47 21 55 62 60
servicedesk@commfides.com