发布到内部名称和保留IP地址的所有公开信任的SSL证书
将于2015年11月1日前到期.
2011年11月, CA/Browser Forum (CA/B) 通过了准则要求对于2012年7月1日生效的公共信任证书的颁发和管理. 这些要求说明:
- CA应在签发之前通知申请人, 使用Subject Alternative Name (SAN)扩展或Subject Common Name栏位包含保留的IP地址或内部伺服器名称的证书已被CA/B弃用
- CA不应颁发SAN或Subject Common Name栏位包含保留IP地址或内部伺服器名称, 而到期日期晚于2015年11月1日的证书
有关详情, 请按这里.
背景
CA/B论坛是证书授权中心和网络浏览器 (如Mozilla或Microsoft之类促进安全连线的公司) 之间的协作.
准则要求防止CA发出将在2015年11月1日后到期的内部名称证书. 对于2015年后无法进行外部验证的任何主机名, 将无法获取公开信任的证书.
这些要求还规定证书颁发机构 (CA) 必须立即开始逐步停止为内部伺服器名称或保留的IP地址发出SSL证书, 并消除 (撤销) 包含内部名称的任何证书. CA/B要求CA在2016年10月前撤销包含内部名称的任何证书.
这些准则要求也被纳入全球审核标准. 它们在2013年1月1日已被包括在CA的WebTrust和ETSI审核标准中. 一旦采纳了这些要求, 浏览器将要求审核人员在更新其根证书之前满足准则要求的认证.
内部名称是什么?
内部名称是属于虚拟私人网络部分的域名或IP地址. 内部名称的常见例子为:
- 任何具有非公共域名后缀的伺服器名称. 例如, www.contoso.local或server1.contoso.internal.
- NetBIOS名称或短主机名, 任何没有公共域名的名字. 例如, Web1, ExchCAS1或Frodo.
- RFC 1918范围内的任何IPv4地址.
- RFC 4193范围内的任何IPv6地址.
这对您意味着什么?
如果您是使用内部名称的伺服器管理员, 您需要重新配置这些伺服器以使用公开名称, 或者切换到在2015年截止日期之前由内部CA颁发的证书. 所有需要公开信任的证书的内部连接必须通过公开和可验证的名称 (无论这些服务是否可公开访问都无关紧要).
请注意, 2011年6月, ICANN批准了新的通用顶级域名计划 (gTLD), 允许组织, 个人和政府申请顶级命名空间. 这将在内部名称截断日期之前影响内部名称的许多SSL证书.