1月XNUMX日が近づいています– Exchange Serverの準備はできていますか?

SSL.comは、1年2015月XNUMX日から、SSL証明書の対象となる内容に関するいくつかの重要な変更が行われることをお知らせします。

関連コンテンツ

学び続けたいですか?

SSL.com のニュースレターを購読して、最新情報を入手し、安全を確保してください。

1年2015月XNUMX日:新しいルールの施行

SSL.comの友達がその始まりを知らせたい 11月1st、2015、いくつかの 非常に重要な変更 何をカバーできるかについて SSL証明書 効果が出ています:

  • 内部名を含む新しい証明書は、CA /ブラウザフォーラムのガイドラインに従って認証局によって発行されなくなります。 (つまり、すべての信頼できるもの)
    しばらくの間、SSL.comは有効期限が1年2015月XNUMX日を過ぎた内部名にイントラネット証明書を発行していないため、SSL.comのお客様はすぐに問題が発生することはありませんが、証明書を再確認することを強くお勧めします。これらの判決があなたに影響を与える可能性のある潜在的な方法について。
  • 内部名を含む既存の証明書は、1年2015月XNUMX日以降は再発行されません。
    繰り返しになりますが、SSL.comは、これが原因で問題が発生しないように努めていますが、以下に、教育の最悪のシナリオを示します。
  • 内部名を含む既存の証明書は、1年2016月XNUMX日に自動的に取り消されます。
    一部のセキュリティアーキテクチャにはこれらのルールを遵守しないレガシー証明書が長く存在する可能性があるため、これは包括的なポリシーです。

これらの変更は、特にMicrosoftのExchange Serverを使用している場合(市場調査によると全体の63%)、変更によって電子メール(インターネットの最初でまだ最も有用なツール)が悪影響を受ける可能性があることを意味します。 したがって、セキュリティアーキテクチャは、来たるすべての聖人の日から影響を受け始める可能性があります。

準備は完璧?

「内部名」とはどういう意味ですか?

内部名の最も簡単な定義は、次のようなネットワーク識別子です。 プライベートネットワークの一部トップレベルドメイン(TLD)または一意のIPアドレスを使用した名前では到達できません。 暗黙のうちに、ICAANなどの中央機関に公的に登録されているネットワークIDは、証明書で使用できます。

以前の、より単純なインターネットの時代には、内部DNSアーキテクチャは、限られたTLDのセットを回避することだけを心配する必要がありました。したがって、AwfulBigCo.comのイントラネットはサポートするだけでなく ABC.ニューヨークABCロンドン 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。 1600.ペンシルバニア.ave, 電子メールガンダルフ。 また、 IPv4およびIPv6アドレスの一部の範囲は確保されています 純粋にローカルで使用する場合–これらの予約範囲には、ルーティング用の「192.168。*。*」と、ローカルネットワーク用の10。*。*。*が含まれます。 もちろん、SSL証明書を使用してイントラネットを保護することは良い考えであり、新しい判決が出るまで、ネットワーク管理者はこれらのいずれかを含む証明書を要求して受け取ることができました。

1年2015月XNUMX日以降、これは当てはまりません–証明書は発行されなくなります– または、決定的に再発行された –内部名が含まれています。 これらの新しいルールは、セキュリティを向上させ、新しいトップレベルドメイン名を適切に使用できるように設計されています(たとえば、.londonと.nycの両方が現在パブリックTLDになっています)。 ただし、Exchangeユーザーは、ネットワークとセキュリティの設定をよく調べて、これらの新しいルールを確認するために変更を加える必要があります。 多くのExchangeセキュリティ設計ではこれまで内部名が使用されてきたため、証明書の有効期限が切れると、メールサービスに重大な問題が発生する可能性があります。これは、内部名を持つ新しい証明書を発行して既存の証明書を置き換えることができないためです。さらに悪いことに、マルチドメイン証明書は内部名がXNUMXつでも含まれていると、更新時に失敗し、メールトラフィックが悪意のある悪用にさらされる可能性があります。

これを怠ると、メールトラフィック、ビジネス、評判に悪影響を与える可能性があります。

悲惨な音。

それは非常にうまくいく可能性があります-それは本当にあなたがどれだけ準備しているかに依存します。 これは見逃しがちな問題であり、その結果はあなたのビジネスにとって絶対に致命的となる可能性があります– if あなたは前もって行動することに失敗します。

例: Robert Dobbsは、AwfuBigCoの上級システム管理者です。 他の仕事の中でも、彼は(理論的には)企業のセキュリティ証明書を管理しています。 ただし、これらは毎年2月XNUMX日に自動更新されるように設定されています。これは、ボブがここに来るずっと前から時計仕掛けのように行われており、請求書も表示されません。 Dreのカムバックアルバムの前のどこかで、AwfulBigCoのネットワークアーキテクチャは、次の名前のXNUMXつのExchangeサーバーを含むように構成されていました。 「abc.exchange」"郵便物", 「mail2」「ガンダルフ」に加えて、安全なFTPバックアップ用に設定された内部IPアドレス(10.10.10.10)と、ロンドンとニューヨークの開発チームに使用されるXNUMX台のサーバー。 彼らはExchangeサーバーと他のドメインをXNUMXつで保護してきました UCC証明書 次のエントリを含みます:

* .awfulbigco.com
* .awfulbigco.co.uk
ひどいビッグコロン
ひどいbigco.nyc
abc.交換

ガンダルフ
Mail
メール2
10.10.10.10

2年2015月XNUMX日。ボブはインターナショナルフルフィルメントのエレインから電話を受けました–彼女はOutlookに問題があります。 彼女の設定を確認しながら彼女と話している間、彼は英国支店のネイサンからテキストを受け取ります。ウェブサイト上の画像の一部が壊れており、注文フォームがタイムアウトしています。 次に、マーケティング担当副社長からの別のテキストで、シンガポールでの彼のデモが潜在的な投資家の会議室の前でクレーターを作った理由を知りたがっています…そして信じられないかもしれませんが、ボブの日は大いに盛り上がります。 ずっと それが良くなる前に悪化します。

AwfulBigCoの証明書プロバイダーは、ロボットを通過してリクエストを実行し、それらの内部名を検出し、(CA / Bフォーラムのルールに従って)更新を拒否しました。

これは問題だ。 UCCは更新されず、許可されていない内部名を使用するサービス(つまり、すべての企業メールとFTPバックアップ)が保護されなくなるだけでなく、プライマリや.coなどのUCCに含まれる他のドメインも保護されなくなります。 AwfulBigCoの英国ドメイン。

確かに、これは極端な最悪のシナリオですが、完全なセキュリティはまさにその準備にかかっていると私たちは心から信じています。

SSL.comの私たちのチームは、ボブがこれらの正確な問題を回避できるように、最後の更新時にAwfulBigCoのセットアップにフラグを立てたことに注意してください。 確かに、評判の良いCAは、1月XNUMX日の締め切り前に顧客を支援するための措置を講じます。質問された場合、およびボブが質問する内容を知っていた場合は、そういうわけで、この記事を紹介します。

さて、私は合法的に怖いです–私は今何をしますか?

SSL証明書で内部名を使用している場合は、これに対処するための対策を講じる必要があります。

基本的に、選択できるオプションがいくつかあります。

  1. パブリックに登録されたドメイン名のみを使用するようにシステムを再構成します。
    これはおそらく最良の解決策です。これにより、内部名の問題が解決されなくなり、今後の保守と拡張が全体的に簡単になります。 残念ながら、このオプションは事前にかなりの作業が必要になる可能性がありますが、MicrosoftExchangeサーバーをセットアップできます 完全修飾パブリックドメイン名を使用する (およびこのCA /ブラウザフォーラム ホワイトペーパー Active DirectoryネットワークでのFQDNの実装について詳しく説明しています)。 切り替え後の管理はほぼ確実に以前と同じか単純になり(ボブにとって大きなプラス)、今後、AwfulBigCoは公的に信頼された証明書を使用して、内部と外部の両方ですべてのトラフィックを保護できるようになります。 この方法の考えられる欠点は、企業の内部インフラストラクチャに関する情報をDNS経由で検出できる可能性があることですが、DNSゾーンの適切な構成は、これに対処するのに役立ちます。たとえば、「内部」または個別のドメイン名などのサブドメインを使用し、解決を制限します。これらの企業ネットワーク外。
  2. 内部名をFQDNとして登録します。
    残念ながら、その予約済みIPアドレスのオプションはなく、もちろん「メール」と「ガンダルフ」はすぐに使用できます。 (ボブの正気のために、.comドメインと.co.ukドメインはすでに安全に登録されていると想定します。彼の日はそれなりに厳しいものです。)
    また、 abc.交換 が利用可能であり、.exchangeはこのルール変更を推進するのに役立つ新しいTLDのXNUMXつであることを忘れないでください。それは不法占拠され、法外な価格でしか利用できない可能性があります。より簡単で安価な代替手段が利用できる可能性があります。
  3. エンタープライズCAをセットアップする
    これは、主に内部通信を保護する必要がある真に大規模なエンティティによってすでに採用されている方法です。 エンタープライズCAは、企業の認証局として機能します。基本的に、外部CAまで実行される信頼のチェーンの代わりに、すべての証明書は最終的に内部で生成されたルート証明書によって保護されます。これにより、より高度なカスタマイズが可能になります(そして、ボブはAwfulBigCoが実施している従来の命名構造を維持する)考慮すべき重大なセキュリティ問題があります。Sonyスタイルのハッキングにより、エンタープライズルート証明書や秘密鍵が公開され、ネットワークをほぼ無制限に利用できるようになります。 また、社内で発行された証明書は他の場所では信頼されません。これは内部通信を保護する方法ですが、ビジネスネットワークの壁を越えて信頼を拡張することはできません。 最後に、エンタープライズCAのセットアップは、一朝一夕のソリューションではなく、ここにリストされている他のオプションよりもはるかに難しいため、非常に大規模な(または成長している)ネットワークでのみ実行可能です。
    SSL.comは、独自のエンタープライズCAを設定するためのパスを交渉するのに役立つコンサルティングおよび管理サービスを喜んで提供します。メッセージをに送信するだけです。 Enterpriseca@ssl.com また、上級管理者のXNUMX人からまもなくご連絡いたします。
  4. 自己署名証明書を使用する
    このオプションには、エンタープライズCAと同様の欠点がありますが、拡張性は高くありません。各自己署名証明書にはそれ自体を超える信頼の連鎖がないため、エラーメッセージを回避するために、個々の証明書をすべてのクライアントにインストールする必要があります。 。 幅広いネットワーク全体の管理は、貧しいボブにとってまったく新しい頭痛の種にもなります。すべてのデバイスで継続的な警戒が維持されない限り、ブラウザの自動更新のような単純なことが大混乱を引き起こす可能性があります。

いつものように、 Rescale Support ご不明な点がございましたらSSL.comで。 覚えておいてください–より安全なインターネットはより良いインターネットです。

常に最新情報を入手して安全を確保

SSL.com サイバーセキュリティの世界的リーダーであり、 PKI そしてデジタル証明書。サインアップして、最新の業界ニュース、ヒント、製品のお知らせを受け取ります。 SSL.com.

フィードバックをお待ちしております

アンケートにご協力いただき、最近のご購入についてのご意見をお聞かせください。