1年2015月XNUMX日:新规则生效
您在SSL.com上的朋友想让您知道开始 1一些 非常重要的变化 关于可以涵盖的内容 SSL证书 正在生效:
- 遵循CA /浏览器论坛指南,包含内部名称的新证书将不再由任何证书颁发机构颁发 (即所有信誉良好的)请注意,一段时间以来SSL.com一直没有向内部名称颁发内部网证书,其过期日期在1年2015月XNUMX日之后,因此SSL.com客户不应遇到任何直接问题-但是,我们强烈建议您仔细检查证书这些裁定可能会影响您的方式。
- 包含内部名称的现有证书将在1年2015月XNUMX日之后重新颁发。同样,SSL.com努力确保您不会因此而出现问题-但是,我们在下面为您的教育提出了最坏的情况。
- 包含内部名称的现有证书将于1年2016月XNUMX日自动撤销。这是一项万能的策略,因为某些安全性体系结构可能具有长期存在的旧证书,这些旧证书不遵守这些规则。
这些变化意味着,作为互联网上第一个也是最有用的工具,电子邮件可能会受到更改的负面影响,尤其是如果您使用的是Microsoft的Exchange Server(市场研究表明,这种情况占63%)。 因此,从即将到来的“万圣节”开始,您的安全体系结构可能会开始受到影响。
你准备好了吗?
说“内部名称”是什么意思?
内部名称的最简单定义是 专用网络的一部分 和 使用顶级域名(TLD)或唯一IP地址无法访问。 暗示地,任何在ICAAN等中央机构公开注册的网络ID都可以在证书中使用
在更早的互联网时代,内部DNS架构只需要担心避免使用有限的TLD,因此AwfulBigCo.com的Intranet不仅可以支持 美国广播公司 和 伦敦 但是 1600.宾夕法尼亚州.ave, 邮件 和 甘道夫 此外, 预留了一些IPv4和IPv6地址范围 供纯本地使用–这些保留范围包括用于路由的“ 192.168。*。*”和用于本地网络的10。*。*。*。 用SSL证书保护Intranet当然是一个好主意,在新裁决颁布之前,任何网络管理员都可以请求并接收包括其中任何一个的证书。
从1年2015月XNUMX日开始,情况将不再如此–不再颁发证书– 或至关重要的是,重新发布 –包含内部名称。 这些新规则旨在提高安全性并允许正确使用新的顶级域名(例如,.london和.nyc现在都是公共TLD)。 但是,他们确实需要任何Exchange用户仔细检查他们的网络和安全设置,并进行更改以确认这些新规则。 由于许多Exchange安全设计历来都使用内部名称,因此当证书到期时和到期时,这可能会导致邮件服务出现严重问题,因为无法发布具有内部名称的新证书来替换现有证书,更糟糕的是,任何多域证书甚至包含一个内部名称的更新都将失败,从而可能使您的邮件流量受到恶意攻击。
否则,可能会对您的邮件流量,业务和/或声誉产生负面影响。
听起来很可怕。
可能是,这完全取决于您的准备情况。 这可能是一个非常容易错过的问题,其后果可能对您的业务绝对致命– if 您无法提前采取行动。
示例: Robert Dobbs是AwfuBigCo的高级系统管理员。 在其他工作中,他(理论上)管理公司的安全证书。 但是,这些时间已设置为每年2月XNUMX日自动续订-自鲍勃(Bob)来到这里很久以来,这种情况就像发条一样发生,而且他甚至从未看到过发票。 在Dre回归专辑之前的某个地方,AwfulBigCo的网络体系结构配置为包括四个名为 “ abc.exchange”, “邮件”, “邮件2” 和 “甘道夫”,以及用于安全FTP备份的内部IP地址(10.10.10.10)和用于伦敦和纽约开发团队的两台服务器。 他们一直在用一个来保护自己的Exchange服务器和其他域 UCC证书 包含以下条目:
* .awfulbigco.com
* .awfulbigco.co.uk
可怕的伦敦
可怕的大公司
abc.交换
甘道夫
邮箱:
邮件2
10.10.10.10
2年2015月XNUMX日。Bob从Elaine的国际配送中接到一个电话–她在Outlook方面遇到了问题。 当他通过设置检查与她交谈时,他从英国分支机构内森(Nathan)处收到一条短信-网站上的某些图片已损坏,订单已超时。 然后是市场营销副总裁的另一篇文章,想知道为什么他在新加坡的演示只是在潜在投资者的董事会面前摇摇欲坠……而且不管信不信由你,鲍勃的日子会变得很美好, 许多 在变得更好之前变得更糟。
请看,AwfulBigCo的证书提供者将其请求通过了他们的机器人,检测到这些内部名称,并且(根据CA / B论坛规则)拒绝了续签。
这是个问题。 UCC将不会被更新,而且使用已拨入内部名称的服务(即所有公司邮件和FTP备份)将不再受到保护-UCC中包括的其他任何域(例如主域和.co)也将不再受到保护。 AwfulBigCo的英国域名。
当然,这是最极端的情况-但我们确实相信,全面的安全取决于为此做准备。
好吧,我很害怕–现在我该怎么办?
如果您在SSL证书中使用内部名称,则需要采取措施解决此问题,越早越好。
基本上,您可以选择一些选项:
- 将系统重新配置为仅使用公开注册的域名。
这可能是最好的解决方案–它可以解决内部名称问题,并且在维护和扩展方面将更加简单。 不幸的是,此选项可能需要大量的工作,但可以设置Microsoft Exchange服务器 使用完全限定的公共域名 (以及该CA /浏览器论坛 白皮书 详细介绍了如何在Active Directory网络中实现FQDN。 转换后的管理几乎肯定会比以前更简单或更简单(对于Bob来说是一大好处),并且今后AwfulBigCo将能够使用公共信任的证书来保护内部和外部的所有流量。 此方法可能的缺点是,它可能允许通过DNS查找有关公司内部基础结构的信息,但是对DNS区域的精明配置可以帮助解决此问题,例如,使用“内部”或单独域名等子域并限制解析度这些不在公司网络范围内。 - 将内部名称注册为FQDN。
不幸的是,该保留IP地址不是一个选项,“邮件”和“甘道夫”当然是正确的选择。 (出于Bob的理智考虑,我们假设.com和.co.uk域已经安全注册-他的日子过得很艰难。)
而且,即使 abc.交换 是可用的,并且请记住,.exchange是新的TLD之一,其引入有助于推动此规则的变更–它很可能会被抢购,并且只能以高昂的价格获得,这可能会更容易,更便宜。 - 设置企业CA
这是真正需要主要保护内部通信的大型实体已经采用的方法。 企业CA充当企业证书颁发机构–本质上,并非由运行到外部CA的信任链来代替,所有证书最终都由内部生成的根证书来保护。尽管这样做确实提供了更大的自定义性(并使Bob能够保持AwfulBigCo拥有的旧命名结构)有一些严重的安全问题需要考虑– Sony风格的黑客可能会暴露企业根证书和/或私钥,从而几乎无限地利用网络。 此外,内部颁发的证书将不会在其他地方被信任–这是一种确保内部通信安全但无法将信任范围扩展到企业网络之外的方法。 最后,建立企业CA绝不是一an而就的解决方案,它可能比此处列出的其他选项困难得多,因此仅适用于非常大(或正在增长)的网络。SSL.com很乐意提供咨询和管理服务,以帮助您协商建立自己的企业CA的路径–只需向 Enterpriseca@ssl.com 我们的一位高级管理员将尽快与您联系。 - 使用自签名证书
此选项具有与Enterprise CA类似的缺点,但是扩展性不佳–由于每个自签名证书都没有超越自身的信任链,因此必须在每个客户端上都安装每个证书,以避免出现错误消息。 跨整个网络的管理也将为可怜的鲍勃带来一系列新的麻烦-像自动浏览器更新这样的简单操作可能会造成严重破坏,除非在每台设备上保持持续的警惕。
一如既往, 立即联系我们 如有任何疑问,请访问SSL.com。 请记住,更安全的互联网就是更好的互联网。