การยกเลิกชื่ออินทราเน็ตและที่อยู่ IP ในเอกสารรับรอง SSL

ชุมชนรักษาความปลอดภัยอินเทอร์เน็ตกำลังยกเลิกการใช้ชื่ออินทราเน็ตและที่อยู่ IP เป็นชื่อโดเมนหลักหรือชื่อสำรองของเรื่อง (SAN) ในเอกสารรับรอง SSL การเปลี่ยนแปลงนี้เป็นการตัดสินใจร่วมกันในอุตสาหกรรมอินเทอร์เน็ต ไม่ไช่เป็นการตัดสินใจของเราเพียงบริษัทเดียว

ในขณะที่เรายังรับคำขอสำหรับใบรับรองใหม่ๆ อยู่โดยใช้ที่อยู่ IP หรือชื่ออินทราเน็ต ใบรับรองจะหมดอายุลงในวันที่r 1พฤศจิกายน 2015 นอกจากนี้ เราไม่สนับสนุนการใช้ใบรับรอง SSL ที่เก็บรักษาที่อยู่ IP สาธารณะหรือที่อยู่ IPv6

ชื่ออินทราเน็ตคือชื่อเครือข่ายส่วนตัว เช่น server 1, mail หรือ server2.local ที่เซิร์ฟเวอร์ชื่อโดเมน (DNS) ไม่สามารถเข้าถึงได้ ที่อยู่ IP คือตัวเลขที่ต่อเรียงกัน เช่น 123.45.67.890 ซึ่งใช้ระบุตำแหน่งของคอมพิวเตอร์

ทำไมต้องเปลี่ยน

เพื่อสร้างสภาพแวดล้อมออนไลน์ที่ปลอดภัยยิ่งขึ้น สมาชิกของ Certificate Authorities Browser Forum ได้ประชุมหารือเพื่อหาแนวทางในการปฏิบัติเกี่ยวกับเอกสารรับรอง SSL ผลการหารือคือองค์กรที่ออกสิทธิ์การรับรอง (CA) จะต้องเพิกถอนเอกสารรับรอง SSL ที่ใช้ชื่ออินทราเน็ตหรือที่อยู่ IP โดยมีผลบังคับใช้ตั้งแต่วันที่ 1 ตุลาคม 2016

โดยสรุป การเปลี่ยนแปลงนี้จะช่วยเพิ่มความปลอดภัย เนื่องจากชื่อของเซิร์ฟเวอร์ภายในนั้นไม่มีเอกลักษณ์เฉพาะ จึงทำให้ง่ายต่อการถูกโจมตีแบบแทรกกลางการสื่อสาร (MITM) ในการโจมตีแบบ MITM ผู้โจมตีจะใช้สำเนาของเอกสารรับรองตัวจริงหรือสำเนาเอกสารรับรองในการแทรกแซงและส่งข้อความใหม่ เนื่องจาก CA ออกเอกสารรับรองหลายฉบับภายใต้ชื่อเซิร์ฟเวอร์ภายในเดียวกัน ทำให้ผู้โจมตีสามารถยื่นขอสำเนาเอกสารรับรองและใช้เอกสารนี้ในการโจมตีแบบ MITM ได้

หากต้องการอ่านแนวทางของ CA/Browser Forum กรุณาคลิกที่นี่

ฉันจะต้องทำอะไร

ถ้าคุณมีใบรับรองที่มีชื่ออินทราเน็ตหรือที่อยู่ IP คุณสามารถใช้ใบรับรองนั้นต่อไปจนกระทั่งหมดอายุหรือจนถึงวันที่ 1 พฤศจิกายน 2015 แล้วแต่ว่าจะถึงเวลาใดก่อน ขณะนี้ คุณสามารถต่ออายุใบรับรองได้ 1 ปี เท่านั้น

คุณจะต้องหาวิธีอื่นในการป้องกันชื่ออินทราเน็ตของคุณต่อไป กล่าวอีกนัยหนึ่ง แทนที่จะป้องกันที่อยู่ IP และชื่ออินทราเน็ต คุณควรกำหนดค่าเซิร์ฟเวอร์ให้ใช้ชื่อโดเมนที่มีคุณสมบัติครบ (FQDN) ใหม่ เช่น www.coolexample.com

ตัวอย่างเช่น สร้างคำขอลงนามใบรับรอง (CSR) ของตนเองสำหรับลงชื่อใบรับรอง SSL หรือถ้าคุณใช้ Microsoft® Exchange Server คุณสามารถตั้งค่า AutoDiscover ภายในเพื่อใช้ FQDN ใหม่ได้ สำหรับขั้นตอน ให้ดู


บทความนี้มีประโยชน์หรือไม่
ขอบคุณสำหรับคำติชมของคุณ หากต้องการพูดคุยกับตัวแทนฝ่ายบริการลูกค้า โปรดใช้หมายเลขโทรศัพท์ฝ่ายสนับสนุนหรือตัวเลือกแชทข้างบนนี้
ยินดีมากที่เราได้ช่วยเหลือ! ยังมีอย่างอื่นที่เราสามารถช่วยคุณได้หรือไม่
เสียใจด้วย บอกเราว่าอะไรที่ทำให้คุณสับสนหรือเหตุใดการแก้ไขนี้จึงไม่ช่วยคลี่คลายปัญหาของคุณ