База знаний

Можно ли выпустить сертификат на внутренний домен?

Раньше некоторые SSL-сертификаты поддерживали защиту локальных доменов. Сейчас же ни выпустить, ни перевыпустить или продлить такой сертификат нельзя. Поле SAN ( Subject Alternative Name) или Subject Common Name должно содержать только FQDN (Fully Qualified Domain Name).

Какие части сети затронуты?

Нельзя выпустить сертификат на внутренние домены и зарезервированные адреса приватной сети.

  1. Хостнеймы вида:
    • server1
    • mail
    • printspool
  2. TLD для внутреннего использования:
    • .test
    • .example
    • .invalid
    • .localhost
    • .local
    • .lan
    • .priv
    • .localdomain
  3. Серые IP-адреса (серии RFC 1918):
    • 10.0.0.0 – 10.255.255.255
    • 172.16.0.0 – 172.31.255.255
    • 192.168.0.0 – 192.168.255.255
  4. IPv6 серии RFC 4193 (внутренние и не доступные из Интернета).

Кто и почему отменил такую возможность?

Это решение принял Форум Центров сертификации и браузеров (CA/B Forum) - консорциум Центров сертификации, вендоров браузеров и других поставщиков ПО, использующего стандарт криптографии X.509 v.3 для SSL/TLS и подписи кода. Это своего рода законодательный орган в вопросах SSL/TLS.

Поскольку внутренние сетевые адреса и имена - не уникальны, их нельзя идентифицировать вне этой сети. Таких имен может быть тысячи. Это дает возможность хакерам успешно произвести атаку “человек посередине” (Man in the middle) и заполучить конфиденциальную информацию, что сводит на нет усилия защитить данные с помощью сертификата. Тогда как зарегистрированный домен может использовать только один владелец, пускай и для нескольких серверов.

Таким образом Форум старается сделать Интернет более безопасным, а пользовательские данные - защищенными.

Какие следует предпринять действия?

Среди представленных на нашем сайте сертификатов только Comodo Unified Communications поддерживал внутренние домены. Если Вы выпускали его и добавляли в SAN внутренние имена, то он будет действительным до 1 октября 2016 года или до окончания срока действия сертификата, если эта дата наступит раньше. Поэтому в дальнейшем можно будет либо использовать самоподписанные сертификаты, либо менять конфигурацию сервера и его внутренних служб для работы с полностью определенными доменными именами.



Прочитайте также
Как SSL влияет на SEO? (Просмотров: 1016)
Что такое Facebook SSL? (Просмотров: 2138)

Язык:

Позвоните нам:

+380 800 50 95 25 — бесплатная горячая линия
+38 050 766 43 66 — для абонентов МТС/Vodafone
+38 097 464 99 04 — для абонентов Киевстар
+38 093 170 20 69 — для абонентов Lifecell
+7 499 643 43 28 — для абонентов из РФ

Трубку берем круглосуточно! Даже в праздники и в плохую погоду!

Напишите нам:

Онлайн-чат

support@ssl.com.ua — по техническим вопросам, 24/7
sales@ssl.com.ua — по вопросам продаж, 24/7
billing@ssl.com.ua — по вопросам оплаты, понедельник-пятница с 8:00 до 24:00

Отвечаем быстро, вежливо, без лишних вопросов.

Постойте, вы уверены?
Нам уже доверяют UnicreditBank, Брусничка, 1+1, Rabota.ua и несколько сотен других бизнесов.
Ну, а если остались вопросы, мы с удовольствием ответим на них в чате.
Задать вопросы
Я никуда не ухожу
Пожалуйста, заполните контактную информацию