Online-Fachhandel für Industriekunden, Gewerbekunden und öffentliche Einrichtungen - Kein Verkauf an Privatkunden

Intranet-Namen und IP-Adressen in SSLs laufen aus

Die Internet-Sicherheitsgemeinschaft lässt die Verwendung von IP-Adressen und Intranet-Namen als primäre Domainnamen oder Subject Alternative Names (SANs) in SSL-Zertifikaten auslaufen. Dies ist eine branchenweite Entscheidung, die alle SSL-Vergabestellen betrifft.

Einige SSL-Zertifizierungsstellen nehmen keine Anfragen, Schlüsselneuzuweisungen oder Verlängerungen von SSL-Zertifikaten an, die Intranetnamen oder IP-Adressen enthalten. Andere nehmen diese zwar noch an, jedoch werden diese auslaufen wenn deren Gültigkeit über den 1. November 2015 hinausgeht. Auch SSL-Zertifikate, die öffentliche IP-Adressen oder IPv6-Adressen schützen werden nicht mehr unterstützt.

Ein Intranetname ist der Name von einem privaten Netzwerk wie server1, mailserver oder Server2.local, auf das öffentliche Domainnamenserver (DNS) nicht zugreifen können. Ein IP-Adresse ist eine Zahlenfolge wie 192.168.23.18, die den Standort eines Computers definiert.

 

Warum die Veränderung?

Um eine sicherere Online-Umgebung zu schaffen, setzten sich die Mitglieder des Certificate Authorities Browser Forum zusammen, um Richtlinien für die Implementierung von SSL-Zertifikaten zu definieren. Das Ergebnis: Ab 1. Oktober 2016 müssen die Zertifizierungsstellen (Certification Authorities / CAs) SSL-Zertifikate, die Intranet-Namen oder IP-Adressen verwenden, widerrufen.
Kurz gesagt, erhöht dies die Sicherheit, da interne Servernamen nicht eindeutig sind. Sie sind anfällig für Man-in-the-Middle-Angriffe (MITM). In einem MITM-Angriff verwendet der Angreifer eine Kopie des echten Zertifikats oder ein Duplikat um Nachrichten abzufangen und erneut zu übertragen. Weil CAs mehrere Zertifikate für die gleichen internen Name ausstellen, kann ein Angreifer einen gültigen Antrag auf ein Duplikat stellen und dieses für die MITM-Attacke verwenden.
 
Um die CA / Browser Forum Richtlinien zu lesen, klicken Sie hier.

 

Welche Maßnahmen muss man ergreifen?

Wenn man bereits ein Zertifikat besitzt, das einen Intranet-Namen oder eine IP-Adresse enthält, kann man dieses Zertifikat verwenden, bis es abgelaufen ist oder bis 1.  Oktober 2016, je nachdem, was zuerst eintritt. Danach kann man dieses Zertifikat lediglich für einen Zeitraum von einem Jahr verlängern.
In Zukunft muss man sich alternative Lösungen suchen, um Intranet-Namen zu sichern. Mit anderen Worten, anstatt der Sicherung von IP-Adressen und Intranet-Namen, sollte man seine Server neu konfigurieren, um vollqualifizierten Domänennamen (FQDNs) wie mail.lieske-elektronik.de verwenden.
Zum Beispiel kann man sein eigenes Certificate Signing Request (CSR) erstellen und verwenden, um das SSL-Zertifikat zu unterzeichnen. Oder, wenn man Microsoft® Exchange Server verwendet, kann man seine interne Autoermittlung neu konfigurieren, um einen vollqualifizierten Domänennamen (FQDM) zu verwenden. Eine Anleitung zur Neukonfiguration von Microsoft Exchange Server, um mit einem vollqualifizierten Domänennamen zu arbeiten finden Sie demnächst hier.

Suche läuft
Suche wird durchgeführt.
Bitte haben Sie etwas Geduld...
Fehlende Felder
Schließen
Cookies helfen uns bei der Bereitstellung unserer Dienstleistungen und einer persönlich angepassten Nutzungserfahrung. Durch die Benutzung der Website erklären Sie sich mit der Nutzung unserer Cookies einverstanden. Informationen zum Datenschutz OK und schließen