Έρχεται η 1η Νοεμβρίου - Ο διακομιστής Exchange είναι έτοιμος;

1 Νοεμβρίου 2015: Νέοι κανόνες που τίθενται σε ισχύ

Οι φίλοι σας στο SSL.com θα ήθελαν να σας ενημερώσουν από την αρχή Νοέμβριος 1st, 2015, Μερικά πολύ σημαντικές αλλαγές σχετικά με το τι μπορεί να καλυφθεί Πιστοποιητικά SSL παράγουν αποτελέσματα:

• Νέα πιστοποιητικά που περιέχουν εσωτερικά ονόματα δεν θα εκδίδονται πλέον από καμία αρχή έκδοσης πιστοποιητικών σύμφωνα με τις οδηγίες του Φόρουμ CA / Browser (δηλαδή, όλα τα αξιόπιστα)
  
  Σημειώστε ότι εδώ και αρκετό καιρό το SSL.com δεν έχει εκδώσει πιστοποιητικά intranet σε εσωτερικά ονόματα με ημερομηνίες λήξης την 1η Νοεμβρίου 2015 και ως εκ τούτου οι πελάτες SSL.com δεν θα πρέπει να αντιμετωπίσουν άμεσα προβλήματα, ωστόσο, σας συνιστούμε να ελέγξετε ξανά τα πιστοποιητικά σας για πιθανούς τρόπους που αυτές οι αποφάσεις μπορεί να σας επηρεάσουν.
• Τα υπάρχοντα πιστοποιητικά που περιέχουν εσωτερικά ονόματα δεν θα εκδοθούν εκ νέου μετά την 1η Νοεμβρίου 2015.
  
  Και πάλι, το SSL.com προσπάθησε να διασφαλίσει ότι δεν θα έχετε προβλήματα εξαιτίας αυτού - ωστόσο, έχουμε παρουσιάσει ένα χειρότερο σενάριο για την επεξεργασία σας παρακάτω.
• Τα υπάρχοντα πιστοποιητικά που περιέχουν εσωτερικά ονόματα θα ΑΝΑΘΕΤΟΝΤΑΙ ΑΥΤΟΜΑΤΑ την 1η Νοεμβρίου 2016.
  
  Πρόκειται για μια γενική πολιτική, καθώς ορισμένες αρχιτεκτονικές ασφαλείας ενδέχεται να έχουν μακροχρόνια πιστοποιητικά παλαιού τύπου που δεν τηρούν αυτούς τους κανόνες.

Αυτές οι αλλαγές σημαίνουν ότι το ηλεκτρονικό ταχυδρομείο - το πρώτο και ακόμα πιο χρήσιμο εργαλείο του Διαδικτύου - μπορεί να επηρεαστεί αρνητικά από τις αλλαγές, ειδικά εάν χρησιμοποιείτε τον Exchange Server της Microsoft (ο οποίος προτείνει έρευνα αγοράς είναι το 63% όλων των ετών). Έτσι, η αρχιτεκτονική ασφαλείας σας θα μπορούσε να αρχίσει να επηρεάζεται από αυτήν την ερχόμενη Ημέρα του Αγίου Αγίου.

Είστε έτοιμοι;

Τι εννοείτε όταν λέτε "Εσωτερικά ονόματα";

Ο απλούστερος ορισμός ενός εσωτερικού ονόματος είναι οποιοδήποτε αναγνωριστικό δικτύου μέρος ενός ιδιωτικού δικτύου και δεν είναι προσβάσιμο με χρήση ονόματος χρησιμοποιώντας τομέα ανώτατου επιπέδου (TLD) ή μοναδική διεύθυνση IP. Κατά συνέπεια, οποιοδήποτε αναγνωριστικό δικτύου που έχει δηλωθεί δημόσια σε μια κεντρική αρχή, όπως το ICAAN, μπορεί να χρησιμοποιηθεί σε πιστοποιητικά

Στις προηγούμενες, απλούστερες μέρες του Διαδικτύου, μια εσωτερική αρχιτεκτονική DNS έπρεπε να ανησυχεί μόνο για την αποφυγή ενός περιορισμένου συνόλου TLD - έτσι, το intranet του AwfulBigCo.com θα μπορούσε να υποστηρίξει όχι μόνο ABC.nyc και ABC Λονδίνο αλλά 1600. pennsylvania.ave, e-mail και Γκάνταλφ. Επιπλέον, Ορισμένες περιοχές διευθύνσεων IPv4 και IPv6 αναιρούνται για καθαρά τοπική χρήση - αυτές οι δεσμευμένες περιοχές περιλαμβάνουν το "192.168. *. *" για δρομολόγηση και 10. *. *. * για τοπικά δίκτυα. Η εξασφάλιση ενδοδικτύων με πιστοποιητικά SSL είναι φυσικά καλή ιδέα, και μέχρι τη νέα απόφαση, οποιοσδήποτε διαχειριστής δικτύου θα μπορούσε να ζητήσει και να λάβει ένα πιστοποιητικό που περιελάμβανε οποιοδήποτε από αυτά.

Από την 1η Νοεμβρίου 2015, αυτό δεν ισχύει πλέον - δεν θα εκδίδονται πλέον πιστοποιητικά - ή, κυρίως, εκδοθεί εκ νέου - που περιέχουν εσωτερικά ονόματα. Αυτοί οι νέοι κανόνες έχουν σχεδιαστεί για να βελτιώσουν την ασφάλεια και να επιτρέψουν τη σωστή χρήση νέων ονομάτων τομέα ανώτερου επιπέδου (για παράδειγμα, τόσο το .london όσο και το .nyc είναι δημόσια TLDs τώρα). Ωστόσο, απαιτούν από οποιονδήποτε χρήστη του Exchange να ρίξει μια ματιά στη ρύθμιση του δικτύου και της ασφάλειας και να κάνει αλλαγές για να αναγνωρίσει αυτούς τους νέους κανόνες. Δεδομένου ότι πολλά σχέδια ασφαλείας του Exchange χρησιμοποιούν ιστορικά εσωτερικά ονόματα, αυτό μπορεί να προκαλέσει σοβαρά προβλήματα με την υπηρεσία αλληλογραφίας σας όταν και καθώς λήγουν τα πιστοποιητικά σας, καθώς δεν μπορούν να εκδοθούν νέα πιστοποιητικά με εσωτερικά ονόματα για να αντικαταστήσουν τα υπάρχοντά σας - ακόμη χειρότερα, οποιοδήποτε πιστοποιητικό πολλών τομέων που περιέχει ακόμη και ένα εσωτερικό όνομα θα αποτύχει κατά την ανανέωση, ενδεχομένως εκθέτοντας την επισκεψιμότητα αλληλογραφίας σας σε κακόβουλη εκμετάλλευση.

Εάν δεν το κάνετε αυτό, μπορεί να επηρεαστεί αρνητικά η επισκεψιμότητα αλληλογραφίας, η επιχείρησή σας ή / και η φήμη σας.

Ακούγεται Dire.

Θα μπορούσε να είναι - εξαρτάται πραγματικά από το πόσο προετοιμασμένοι είστε. Αυτό θα μπορούσε να είναι ένα πολύ εύκολο πρόβλημα να χάσετε και οι συνέπειες θα μπορούσαν να είναι απολύτως θανατηφόρες για την επιχείρησή σας - if αποτυγχάνετε να ενεργήσετε εκ των προτέρων.

Βλέπετε, ο πάροχος πιστοποιητικών της AwfulBigCo έτρεξε το αίτημά του πέρα ​​από τα ρομπότ τους, εντόπισε αυτά τα εσωτερικά ονόματα και (σύμφωνα με τους κανόνες φόρουμ CA / B) απέρριψε την ανανέωση.

Αυτό είναι πρόβλημα. Το UCC ΔΕΝ θα ανανεωθεί και όχι μόνο οι υπηρεσίες που χρησιμοποιούν τα επιτρεπόμενα εσωτερικά ονόματα (δηλαδή, όλα τα εταιρικά μηνύματα αλληλογραφίας και τα αντίγραφα ασφαλείας FTP) δεν θα προστατεύονται πλέον - ούτε άλλοι τομείς που περιλαμβάνονται στο UCC, όπως το πρωτεύον και το .co. τομείς του Ηνωμένου Βασιλείου για το AwfulBigCo.

Σίγουρα, αυτό είναι ένα ακραίο χειρότερο σενάριο - αλλά πιστεύουμε πραγματικά ότι η πλήρης ασφάλεια εξαρτάται από την προετοιμασία για ακριβώς αυτό.

Εντάξει, φοβάμαι Legit - Τι πρέπει να κάνω τώρα;

Εάν χρησιμοποιείτε εσωτερικά ονόματα στα πιστοποιητικά SSL, θα χρειαστεί να λάβετε μέτρα για να το αντιμετωπίσετε και όσο πιο γρήγορα τόσο το καλύτερο.

Βασικά, υπάρχουν μερικές επιλογές που μπορείτε να επιλέξετε:

1. Επαναδιαμορφώστε το σύστημα ώστε να χρησιμοποιεί μόνο δημόσια καταχωρημένα ονόματα τομέα.
   Αυτή είναι πιθανώς η καλύτερη λύση - κάνει το ζήτημα του εσωτερικού ονόματος και θα είναι απλούστερο συνολικά για τη διατήρηση και την επέκταση του μέλλοντος. Δυστυχώς, αυτή η επιλογή πιθανότατα απαιτεί σημαντική εργασία εκ των προτέρων, αλλά οι διακομιστές Microsoft Exchange μπορούν να ρυθμιστούν για χρήση πλήρως αναγνωρισμένων δημόσιων ονομάτων τομέα (και αυτό το CA / Browser Forum λευκό χαρτί λέει περισσότερα για την εφαρμογή FQDN σε δίκτυα Active Directory). Η διαχείριση μετά τη μετάβαση θα είναι σχεδόν σίγουρα τόσο απλή ή απλούστερη από ό, τι στο παρελθόν (ένα μεγάλο πλεονέκτημα για τον Bob) και στο μέλλον, το AwfulBigCo θα μπορεί να χρησιμοποιήσει δημόσια αξιόπιστα πιστοποιητικά για να εξασφαλίσει όλη την κίνηση τόσο εσωτερικά όσο και εξωτερικά. Ένα πιθανό μειονέκτημα αυτής της μεθόδου είναι ότι μπορεί να επιτρέψει την ανακάλυψη πληροφοριών σχετικά με την εσωτερική υποδομή μιας εταιρείας μέσω DNS, αλλά η κατανοητή διαμόρφωση των ζωνών DNS μπορεί να βοηθήσει στην αντιμετώπιση αυτού - για παράδειγμα, χρησιμοποιώντας υποτομείς όπως "εσωτερικά" ή ξεχωριστά ονόματα τομέα και περιοριστική ανάλυση από αυτά εκτός δικτύων εταιρειών.
2. Καταχωρήστε εσωτερικά ονόματα ως FQDN.
   Δυστυχώς, δεν είναι μια επιλογή για αυτήν την δεσμευμένη διεύθυνση IP, και φυσικά το "Mail" και το "Gandalf" δεν είναι σωστά. (Θα υποθέσουμε για χάρη της λογικής του Bob ότι οι τομείς .com και .co.uk έχουν ήδη καταχωρηθεί με ασφάλεια - η ημέρα του είναι αρκετά σκληρή όπως είναι.)
   Επίσης, ακόμη και αν abc.ανταλλαγή είναι διαθέσιμο - και να θυμάστε ότι το .exchange είναι ένα από τα νέα TLDs του οποίου η εισαγωγή συμβάλλει στην προώθηση αυτής της αλλαγής κανόνα - θα μπορούσε κάλλιστα να καταλήξει και να είναι διαθέσιμο μόνο για μια υπερβολική τιμή - πιθανώς είναι διαθέσιμες ευκολότερες και φθηνότερες εναλλακτικές λύσεις.
3. Ρυθμίστε μια εταιρική αρχή
   Αυτή είναι μια μέθοδος που χρησιμοποιείται ήδη από πραγματικά μεγάλες οντότητες που πρέπει να διασφαλίζουν κυρίως εσωτερικές επικοινωνίες. Μια εταιρική CA χρησιμεύει ως αρχή εταιρικού πιστοποιητικού - ουσιαστικά, αντί της αλυσίδας εμπιστοσύνης που εκτελείται σε μια εξωτερική CA, όλα τα πιστοποιητικά ασφαλίζονται τελικά από ένα πιστοποιητικό ρίζας που δημιουργήθηκε εσωτερικά. Ενώ αυτό δίνει μεγαλύτερη προσαρμογή (και θα επέτρεπε στον Bob να διατηρήστε τη δομή ονομασίας παλαιού τύπου που διαθέτει το AwfulBigCo) υπάρχουν σοβαρά ζητήματα ασφαλείας που πρέπει να ληφθούν υπόψη - μια hack τύπου Sony θα μπορούσε να εκθέσει το εταιρικό πιστοποιητικό root και / ή το ιδιωτικό κλειδί, επιτρέποντας σχεδόν απεριόριστη εκμετάλλευση του δικτύου. Επίσης, τα πιστοποιητικά που εκδίδονται εσωτερικά ΔΕΝ θα εμπιστεύονται αλλού - αυτή είναι μια μέθοδος που εξασφαλίζει εσωτερικές επικοινωνίες, αλλά δεν μπορεί να επεκτείνει την εμπιστοσύνη πέρα ​​από τα τείχη του επιχειρηματικού σας δικτύου. Τέλος, η δημιουργία μιας εταιρικής CA δεν είναι καθόλου μια ολονύκτια λύση και μπορεί να είναι πολύ πιο δύσκολη από τις άλλες επιλογές που αναφέρονται εδώ, και επομένως βιώσιμη μόνο για πολύ μεγάλα (ή αναπτυσσόμενα) δίκτυα.
   
   Το SSL.com είναι στην ευχάριστη θέση να προσφέρει συμβουλευτικές υπηρεσίες και υπηρεσίες διαχείρισης που θα σας βοηθήσουν να διαπραγματευτείτε τη διαδρομή για τη δημιουργία της δικής σας εταιρικής CA - απλώς στείλτε ένα μήνυμα στο enterpriseca@ssl.com και ένας από τους ανώτερους διαχειριστές μας θα επικοινωνήσει μαζί σας σύντομα.
4. Χρησιμοποιήστε αυτο-υπογεγραμμένα πιστοποιητικά
   Αυτή η επιλογή έχει παρόμοια μειονεκτήματα με εκείνη του Enterprise CA, αλλά δεν έχει καλή κλίμακα - δεδομένου ότι κάθε αυτο-υπογεγραμμένο πιστοποιητικό δεν έχει αλυσίδα εμπιστοσύνης πέρα ​​από αυτό, κάθε μεμονωμένο πιστοποιητικό θα πρέπει να εγκατασταθεί σε κάθε πελάτη για την αποφυγή μηνυμάτων σφάλματος . Η διαχείριση σε ένα ευρύ δίκτυο θα δημιουργούσε επίσης μια εντελώς νέα πονοκέφαλο για τον φτωχό Μπομπ - κάτι τόσο απλό όσο οι αυτόματες ενημερώσεις του προγράμματος περιήγησης θα μπορούσαν να προκαλέσουν καταστροφή, εκτός εάν διατηρείται συνεχής επαγρύπνηση σε κάθε συσκευή.

Όπως πάντα, επικοινωνηστε μαζί μας στο SSL.com εάν έχετε απορίες. Θυμηθείτε - ένα ασφαλέστερο Διαδίκτυο είναι ένα καλύτερο Διαδίκτυο.