發佈到內部名稱和保留IP地址的所有公開信任的SSL證書
將於2015年11月1日前到期.
2011年11月, CA/Browser Forum (CA/B) 通過了準則要求對於2012年7月1日生效的公共信任證書的頒發和管理. 這些要求說明:
- CA應在簽發之前通知申請人, 使用Subject Alternative Name (SAN)擴展或Subject Common Name欄位包含保留的IP地址或內部伺服器名稱的證書已被CA/B棄用
- CA不應頒發SAN或Subject Common Name欄位包含保留IP地址或內部伺服器名稱, 而到期日期晚於2015年11月1日的證書
有關詳情, 請按這裡.
背景
CA/B論壇是證書授權中心和網絡瀏覽器 (如Mozilla或Microsoft之類促進安全連線的公司) 之間的協作.
準則要求防止CA發出將在2015年11月1日後到期的內部名稱證書. 對於2015年後無法進行外部驗證的任何主機名, 將無法獲取公開信任的證書.
這些要求還規定證書頒發機構 (CA) 必須立即開始逐步停止為內部伺服器名稱或保留的IP地址發出SSL證書, 並消除 (撤銷) 包含內部名稱的任何證書. CA/B要求CA在2016年10月前撤銷包含內部名稱的任何證書.
這些準則要求也被納入全球審核標準. 它們在2013年1月1日已被包括在CA的WebTrust和ETSI審核標準中. 一旦採納了這些要求, 瀏覽器將要求審核人員在更新其根證書之前滿足準則要求的認證.
內部名稱是什麼?
內部名稱是屬於虛擬私人網絡部分的域名或IP地址. 內部名稱的常見例子為:
- 任何具有非公共域名後綴的伺服器名稱. 例如, www.contoso.local或server1.contoso.internal.
- NetBIOS名稱或短主機名, 任何沒有公共域名的名字. 例如, Web1, ExchCAS1或Frodo.
- RFC 1918範圍內的任何IPv4地址.
- RFC 4193範圍內的任何IPv6地址.
這對您意味著什麼?
如果您是使用內部名稱的伺服器管理員, 您需要重新配置這些伺服器以使用公開名稱, 或者切換到在2015年截止日期之前由內部CA頒發的證書. 所有需要公開信任的證書的內部連接必須通過公開和可驗證的名稱 (無論這些服務是否可公開訪問都無關緊要).
請注意, 2011年6月, ICANN批准了新的通用頂級域名計劃 (gTLD), 允許組織, 個人和政府申請頂級命名空間. 這將在內部名稱截斷日期之前影響內部名稱的許多SSL證書.