Можно ли выпустить сертификат на внутренний домен

Раньше некоторые SSL-сертификаты поддерживали защиту локальных доменов. Сейчас же ни выпустить, ни перевыпустить или продлить такой сертификат нельзя. Поле SAN (Subject Alternative Name) или Subject Common Name должно содержать только FQDN (Fully Qualified Domain Name).

Какие части сети затронуты?

Нельзя выпустить сертификат на внутренние домены и зарезервированные адреса приватной сети.

  1. Хостнеймы вида:
    • server1
    • mail
    • printspool
  2. TLD для внутреннего использования:
    • .test
    • .example
    • .invalid
    • .localhost
    • .local
    • .lan
    • .priv
    • .localdomain
  3. Серые IP-адреса (серии RFC 1918):
    • 10.0.0.0 – 10.255.255.255
    • 172.16.0.0 – 172.31.255.255
    • 192.168.0.0 – 192.168.255.255
  4. IPv6 серии RFC 4193 (внутренние и не доступные из Интернета).

Кто и почему отменил такую возможность?

Это решение принял Форум Центров сертификации и браузеров (CA/B Forum) — консорциум Центров сертификации, вендоров браузеров и других поставщиков ПО, использующего стандарт криптографии X.509 v.3 для SSL/TLS и подписи кода. Это своего рода законодательный орган в вопросах SSL/TLS.

Поскольку внутренние сетевые адреса и имена — не уникальны, их нельзя идентифицировать вне этой сети. Таких имен может быть тысячи. Это дает возможность хакерам успешно произвести атаку «человек посередине» (man in the middle) и заполучить конфиденциальную информацию, что сводит на нет усилия защитить данные с помощью сертификата. Тогда как зарегистрированный домен может использовать только один владелец, пускай и для нескольких серверов.

Таким образом форум старается сделать интернет более безопасным, а пользовательские данные — защищенными.

Какие следует предпринять действия?

Среди представленных на нашем сайте сертификатов только Comodo Unified Communications поддерживал внутренние домены. Если вы выпускали его и добавляли в SAN внутренние имена, то он будет действительным до 1 октября 2016 года или до окончания срока действия сертификата, если эта дата наступит раньше. Поэтому в дальнейшем можно будет либо использовать самоподписанные сертификаты, либо менять конфигурацию сервера и его внутренних служб для работы с полностью определенными доменными именами.