• 欢迎访问举个栗子网站
  • 小说APP下载 xsz.tw 不带广告的小说站

逐渐停止在 SSL 中使用 Intranet 名称和 IP 地址

新闻 举个栗子 2年前 (2018-03-30) 420次浏览 0个评论 扫描二维码

逐渐停止在 SSL 中使用 Intranet 名称和 IP 地址

互联网安全社区正在逐渐放弃在 SSL 证书中使用 Intranet 名称和 IP 地址作为主域名或主题备用名称 (SAN) 的做法。这是一项整个行业内的决定,并非是我们公司特有的规定。

尽管我们仍然接受使用 IP 地址或内联网名称的新请求,它们将在 2015 年 11 月 1 日过期。 此外,我们不支持为公共 IP 地址或 IPv6 地址提供安全的 SSL 证书。

Intranet 名称是公用域名服务器 (DNS) 无法访问的专用网络的名称,例如 server1mailserver2.local。IP 地址是用于定义计算机位置的一串数字,例如 123.45.67.890

为什么要改变?

为了创建更安全的网络环境,Certificate Authorities Browser Forum(证书颁发机构浏览器论坛)的成员共同定义了 SSL 证书的实施方针。最终决定,从 2016 年 10 月 1 日开始,证书颁发机构 (CA) 必须撤消使用 Intranet 名称或 IP 地址的 SSL 证书。

简而言之,这一改变可以提高安全性。因为内部服务器名称并不是唯一的,它们可能会遭受中间人 (MITM) 攻击。在 MITM 攻击中,攻击者会使用真实证书的副本或复制的证书来拦截和转发消息。由于 CA 为同一个内部名称颁发多个证书,因此攻击者就可以成功申请到复制的证书,并将其用于 MITM。

要了解 CA/Browser Forum(证书颁发机构/浏览器论坛)方针的详细内容,请单击此处

我需要做什么?

如果您现有的证书包含内联网名称或 IP 地址,您仍然可以使用该证书,直至过期或 2015 年 11 月 1 日,以先到者为准。 与此同时,您只能对这些证书续费一年的时长。

接下来,您必须寻找其他解决方案来保护您的 Intranet 名称。也就是说,您应该将服务器重新配置为使用完全限定域名 (FQDN)(例如 http://www.coolexample.com),而不是去保护 IP 地址和 Intranet 名称。

例如,您可以创建自己的证书签名申请 (CSR) 并用其注册自己的 SSL 证书。 或者,如果您使用 Microsoft® Exchange Server,则可以重新配置其内部 AutoDiscover 以使用 FQDN。


举个栗子 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:逐渐停止在 SSL 中使用 Intranet 名称和 IP 地址
喜欢 (0)
举个栗子
关于作者:
建筑工地上施工员,闲暇时弄个博客打发时间,
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址