Можно ли выпустить сертификат на внутренний домен?
Раньше некоторые SSL-сертификаты поддерживали защиту локальных доменов. Сейчас же ни выпустить, ни перевыпустить или продлить такой сертификат нельзя. Поле SAN ( Subject Alternative Name) или Subject Common Name должно содержать только FQDN (Fully Qualified Domain Name). Какие части сети затронуты?Нельзя выпустить сертификат на внутренние домены и зарезервированные адреса приватной сети.
Кто и почему отменил такую возможность?Это решение принял Форум Центров сертификации и браузеров (CA/B Forum) - консорциум Центров сертификации, вендоров браузеров и других поставщиков ПО, использующего стандарт криптографии X.509 v.3 для SSL/TLS и подписи кода. Это своего рода законодательный орган в вопросах SSL/TLS. Поскольку внутренние сетевые адреса и имена - не уникальны, их нельзя идентифицировать вне этой сети. Таких имен может быть тысячи. Это дает возможность хакерам успешно произвести атаку “человек посередине” (Man in the middle) и заполучить конфиденциальную информацию, что сводит на нет усилия защитить данные с помощью сертификата. Тогда как зарегистрированный домен может использовать только один владелец, пускай и для нескольких серверов. Таким образом Форум старается сделать Интернет более безопасным, а пользовательские данные - защищенными. Какие следует предпринять действия?Среди представленных на нашем сайте сертификатов только Comodo Unified Communications поддерживал внутренние домены. Если Вы выпускали его и добавляли в SAN внутренние имена, то он будет действительным до 1 октября 2016 года или до окончания срока действия сертификата, если эта дата наступит раньше. Поэтому в дальнейшем можно будет либо использовать самоподписанные сертификаты, либо менять конфигурацию сервера и его внутренних служб для работы с полностью определенными доменными именами. |